用户名、密码
1、检查密码数据中是否加密存贮
2、检查密码在传输过程中是否加密,接口或日志中
3、检查密码是否设置强度校验
4、检查密码是否有有效期,有效期到后是否提示修改,不修改是否无法正常登录
5、检查是否有记住密码功能,记住密码是否有有效期,过期后是否需要重新登录
6、检查密码输入框是否支持复制粘贴
7、检查密码输入框输入密码后在源码模式下是否可被查看
8、检查用户名和密码输入框是否存在典型的“SQL注入攻击”,用户名或密码输入:’or 1=1
9、检查用户名和密码输入框是否存在典型的“跨站脚本攻击测试”,嵌入验证是否会被篡改
验证码
1、检查登陆页面是否存在验证码
2、检查是否可以绕开验证码登录
3、检查验证码是否有规律
4、检查验证码是否可通过html源码查看到
5、检查验证码使用一次后是否还有效
6、检查验证码的时效性
7、检查验证码图片中背景是否存在无规律的点或线条
8、检查页面刷新,验证码是否变化
其它
1、检查多次登录失败的情况下,是否会上锁
2、检查同一用户在同一浏览器、不同浏览器上同时登录是否存在互斥情况
3、检查登录成功后复制URL,在其它浏览器中直接录入,是否可直接登录
4、检查登录失败后的提示,是否存在信息泄露,eg:输入不存在的用户名,提示用户名无效
5、检查用户名、密码、验证码一致性校验,是否同时提交给服务端验证,分开提交、分开验证会存在漏洞
6、检查token失效后,系统是否会强制退出
行动吧,在路上总比一直观望的要好,未来的你肯定会感 谢现在拼搏的自己!如果想学习提升找不到资料,没人答疑解惑时,请及时加入扣群: 320231853,里面有各种软件测试+开发资料和技术可以一起交流学习哦。
最后感谢每一个认真阅读我文章的人,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!