web安全测试知识点总结(更新中。。。)

由于本人目前还在学习中,web安全测试点会持续进行总结和输出,争取更加完善。

常见的测试点如下:

1、用户隐私协议

  • 用户注册时需要明确告知用户会获取到哪些用户信息,包括cookie、手机号、邮箱等等,并且不会泄漏给第三方(可参考JD、taobao等)

2、注册功能

  • 注册功能是否能正常实现;
  • 注册请求是否安全传输;
  • 验证必填项为空是否允许注册;
  • 密码二次确认时,此时复制粘贴不可生效,其余的情况应该生效;
  • 注册时,设置密码为特殊版本号,检查登录时是否会报错;

3、登录功能

  • 登录失败时,是否给出合理的提示(用户名或密码错误);
  • 是否支持登陆失败次数的限制(如密码输入5次,锁定账号30分钟等),是否可被暴力破解;
  • 登录时,当页面刷新或重新输入数据时,验证码是否更新;
  • 关键cookie是否httponly;
  • 是否明文传输用户凭据;
  • 是否可以直接修改服务器返回的数据包(如将false改为true),从而直接登录账户;
  • 是否本地存储用户敏感信息(如cookie中存储用户密码等)

4、验证码功能

  • 短信轰炸;
  • 验证码一次性有效&#x
  • 7
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值