入门安全测试必须要知道的10个通用用例！

今天这里总结的是一些通用安全测试用例，但安全测试远不如此，这些用例只能算入门必备！

1、漏洞扫描

定义：对系统的URL进行漏洞扫描，扫描系统开放的端口、服务和存在的漏洞

2、明文传输

定义：对系统传输过程中的敏感内容是明文&密文进行检查

系统传输敏感信息场景：登录、注册、支付、修改密码

系统敏感信息：登录密码、支付金额、注册的手机号码、身份证、邮箱等信息

3、越权访问

定义：测试能否通过URL地址获取管理员及其他用户信息

1)出现admin、user、system、pwd等敏感目录的URL地址

2)垂直越权场景：当系统存在多个不同权限的管理员时，低权限的管理员不能访问或操作到高权限的管理的资源

3)水平越权场景：当系统存在多个需要登录用户，A用户不能访问B用户的资源

现在我也找了很多测试的朋友，做了一个分享技术的交流群，共享了很多我们收集的技术文档和视频教程。
如果你不想再体验自学时找不到资源，没人解答问题，坚持几天便放弃的感受
可以加入我们一起交流。而且还有很多在自动化，性能，安全，测试开发等等方面有一定建树的技术大牛
分享他们的经验，还会分享很多直播讲座和技术沙龙
可以免费学习！划重点！开源的！！！
qq群号：691998057【暗号：csdn999】

4、反射性跨站脚本

定义：测试系统是否对输入进行过滤或转移，规避用户通过跨站脚本攻击造成风险

跨站脚本攻击场景：搜索框、输入框、留言、上传文件

5、越权文件下载

定义：测试URL中是否包含文件名或文件目录，尝试提交参数值查看是否可下载或读取其他目录的文件内容

文件下载场景：文件下载、文件读取功能

测试url：包含文件名或文件目录的url

6、文件上传

定义：测试能否上传木马、病毒、色情图片等恶意图片

7、短信、邮箱验证

定义：测试短信、邮箱验证方式是否进行安全设置

触发短信、邮箱验证码验证相关的场景：找回或重置密码、注册、邀请注册、引流活动分享

8、鉴权缺失

定义：测试需要登录、鉴权才可操作的系统中可修改资源的相关接口，鉴权是否可靠

测试对象：可以修改资源的接口

9、密码健壮性

定义：测试密码、验证码验证的方式是否可靠，是否可以被暴力猜测直至命中

10、数据安全

定义：检查系统中敏感数据的存储是否安全

敏感数据：密码、身份证、家庭住址、银行卡号、手机号、真实姓名

下面是配套资料，对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴我走过了最艰难的路程，希望也能帮助到你！

最后： 可以在公众号：程序员小濠 ！ 免费领取一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享！，其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。

如果我的博客对你有帮助、如果你喜欢我的博客内容，请 “点赞” “评论” “收藏” 一键三连哦！