大类 | 细项 |
注册功能 | 注册请求是否安全传输 |
注册时密码复杂度是否后台检验 | |
重复注册 | |
批量注册问题 | |
登录功能 | 登录请求是否传输安全 |
登录请求错误次数限制 | |
暴利破解 | |
验证码功能 | 验证码更新机制问题 |
验证码绕过 | |
短信验证码轰炸 | |
短信验证码回显 | |
短信验证码可爆破 | |
忘记密码功能 | 通过手机号找回 |
通过邮箱找回 | |
越权测试 | 所有接口越权测试 |
xss测试 | 反射型XSS |
存储型XSS | |
DOM型XSS | |
SQL注入测试 | 工具加人工测试 |
CSRF测试 | 验证referer |
查看token | |
敏感信息泄漏 | SVN信息泄露 |
页面泄露敏感信息 | |
加密算法 | |
内网IP地址 | |
目录遍历 | 目录遍历 |
任意文件读取 | 任意文件读取 |
URL重定向测试 | URL重定向测试 |
CORS问题 | CORS问题 |