登入功能怎樣做安全性測試,要關注哪些方面.閒來無事,根據自己以往做過的專案,現總結如下:
1、登入時對使用者名稱、密碼、驗證碼的合法性驗證
2、連續登入失敗後的處理策略(比如:連續失敗3次,鎖定賬號一段時間
3、使用者名稱的規則
4、密碼策略(比如:長度限制、字元限制、不能與賬號相同等)
5、密碼輸入框不允許貼上複製
6、使用者登入密碼是否是可見
7、是否有密碼過期策略
8、密碼是否採取符合要求的加密演算法
9、密碼不能明文傳輸
10、日誌中是否記錄明文密碼
11、資料庫中不能記錄明文密碼
12、驗證碼的失效時間驗證
13、使用者退出系統後是否刪除了所有鑑權標記
14、是否可以使用後退鍵而不通過輸入口令進入系統
15、檢查是否有頁面可以繞過登入頁面進行訪問
16、頁面超時機制的驗證
17、cookie中是否儲存使用者名稱密碼,如果儲存要加密
18、驗證是否存在注入式sql攻擊漏洞
19、對於安全性高的系統,最好使用https
登陸與密碼安全性漫談
多數業務系統都自帶使用者登陸模組,而其中最常見的登陸方式為使用者名稱 密碼,常見的安全性考慮 如下 1 當使用者輸入不存在的使用者名稱時,提示 使用者名稱不存在 更友好?2 當發現某惡意請求後,限ip?某廣告 每日 ip量可達100萬,不重複 3 資料庫儲存明文密碼?所有拿到資料庫訪問許可權的人都知...
安全性測試
1.url哪些引數可以放進去,哪些不可以放。後面的id 可以隨便改,可以查所有活動。url作處理 後端限制。編輯 時,不應帶有 id,防有人改id編輯其它人的 加密。比如每個使用者金鑰都不一樣,很難破解。2.有些操作自已去資料庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但...
mysql安全性試驗 Mysql安全性測試
一 沒有進行預處理的sql語句 1.連線資料庫 conn mysql connect 127.0.0.1 3306 root 518666 if conn die could not connect mysql error 2.選擇資料庫 mysql select db mysql safe con...