今天这里总结的是一些通用安全测试用例,但安全测试远不如此,这些用例只能算入门必备!
1、漏洞扫描
定义:对系统的URL进行漏洞扫描,扫描系统开放的端口、服务和存在的漏洞
2、明文传输
定义:对系统传输过程中的敏感内容是明文&密文进行检查
系统传输敏感信息场景:登录、注册、支付、修改密码
系统敏感信息:登录密码、支付金额、注册的手机号码、身份证、邮箱等信息
3、越权访问
定义:测试能否通过URL地址获取管理员及其他用户信息
1)出现admin、user、system、pwd等敏感目录的URL地址
2)垂直越权场景:当系统存在多个不同权限的管理员时,低权限的管理员不能访问或操作到高权限的管理的资源
3)水平越权场景:当系统存在多个需要登录用户,A用户不能访问B用户的资源
4、反射性跨站脚本
定义:测试系统是否对输入进行过滤或转移,规避用户通过跨站脚本攻击造成风险
跨站脚本攻击场景:搜索框、输入框、留言、上传文件
5、越权文件下载
定义:测试URL中是否包含文件名或文件目录,尝试提交参数值查看是否可下载或读取其他目录的文件内容
文件下载场景:文件下载、文件读取功能
测试url:包含文件名或文件目录的url
6、文件上传
定义:测试能否上传木马、病毒、色情图片等恶意图片
7、短信、邮箱验证
定义:测试短信、邮箱验证方式是否进行安全设置
触发短信、邮箱验证码验证相关的场景:找回或重置密码、注册、邀请注册、引流活动分享
8、鉴权缺失
定义:测试需要登录、鉴权才可操作的系统中可修改资源的相关接口,鉴权是否可靠
测试对象:可以修改资源的接口
9、密码健壮性
定义:测试密码、验证码验证的方式是否可靠,是否可以被暴力猜测直至命中
10、数据安全
定义:检查系统中敏感数据的存储是否安全
敏感数据:密码、身份证、家庭住址、银行卡号、手机号、真实姓名
最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走!
软件测试面试文档
我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。