由于本人目前还在学习中,web安全测试点会持续进行总结和输出,争取更加完善。
常见的测试点如下:
1、用户隐私协议
- 用户注册时需要明确告知用户会获取到哪些用户信息,包括cookie、手机号、邮箱等等,并且不会泄漏给第三方(可参考JD、taobao等)
2、注册功能
- 注册功能是否能正常实现;
- 注册请求是否安全传输;
- 验证必填项为空是否允许注册;
- 密码二次确认时,此时复制粘贴不可生效,其余的情况应该生效;
- 注册时,设置密码为特殊版本号,检查登录时是否会报错;
3、登录功能
- 登录失败时,是否给出合理的提示(用户名或密码错误);
- 是否支持登陆失败次数的限制(如密码输入5次,锁定账号30分钟等),是否可被暴力破解;
- 登录时,当页面刷新或重新输入数据时,验证码是否更新;
- 关键cookie是否httponly;
- 是否明文传输用户凭据;
- 是否可以直接修改服务器返回的数据包(如将false改为true),从而直接登录账户;
- 是否本地存储用户敏感信息(如cookie中存储用户密码等)
4、验证码功能
- 短信轰炸;
- 验证码一次性有效&#x