安全测试CheckList

权限系统

  • 保证全部资源都使用HTTPS
  • 登出之后销毁会话ID
  • 密码重置后需要销毁所有活跃会话
  • 使用httponly Cookies
  • 密码找回等无需登录的场景下下达到用户认证字符串必须是该场景单独使用的,须确保无法在其他任何场景完成认证
  • 敏感场景,如下但不限于:登录,注册,发表话题等,是否存在验证码,验证码强度是否足够,验证码接口是否安全,若无验证码,是否有频率限制或其他人机验证方式
  • 验证码是否刷新,验证码是否下达到Cookie等用户可以接触到的其他地方
  • 敏感场景,如下但不限于:密码找回,发表话题等,Token是否有过期时间,并需要确保其随机性

用户数据和权限校验

  • 诸如我的历史等类似资源的访问,是否检查了访问者的权限
  • 修改邮箱,手机号,QQ,微信等需要验证账号是否属于修改者本人
  • 用户可上传的场景是否强检测了上传文件的格式
  • 上传图片功能应该过滤所有的EXIF标签
  • 验证码场景是否有频率检测

安全头信息和配置

  • 添加 CSP 头信息,减缓 XSS 和HTTP劫持
  • 添加 CSRF 头信息防止跨站请求伪造(CSRF)攻击
  • 添加 HSTS 头信息防止 SSL stripping 攻击
  • 添加 X-Frame-Options 防止点击劫持

过滤输入

  • 所有输入仅允许用户输入允许输入的字符,默认情况应该是英文大小写,数字,下划线,点,特殊情况也不应该包含诸如:\,|,/,<,>,*,$等控制字符,须检查其后端是否校验

关于API安全

  • 我们应该比开发更清楚有多少API,他们的功能是什么,他们的接受的参数和返回的状态码是什么
  • 检查API权限,需要带有身份验证的API是否严格的执行了身份验证功能,诸如我携带A的会话ID是否可以访问其他人需身份验证的资源;身份验证Token是否足够随机
  • 保存API的请求,并重放请求.尝试修改参数,增加或减少参数,再次重放,查看一切是否正常,是否得到了不该得到的权限/资源
  • 敏感信息API是否有频率限制
  • 流程校验,时序及错误状态的判断
  • Post author: E_Bwill
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值