前面一些文章主要介绍了安全测试的主要类型,OWASP top10涉及到的安全问题以及一些其他的问题,本篇博文主要是列出我曾经的一个项目包含的安全问题,希望从中获取启发,特别是针对一些电商类、购买类或者交易类的网站。
- 验证码机制
- 锁定机制
- 如果账户名字不允许duplicate,验证是否做出可相应的限制,相同名字的账户可不可以创建。
- 一些错误信息的提示是否泄漏重要信息等
- XSS攻击
- 弱密码以及密码加密太弱
- 注销后,会话是否失效
- 比较重要的,使用curl命令等篡改商品的价格或者数量进行购买。
对于电商类的网站,篡改输入是很严重的问题,攻击者可以进行攻击来获取自己的利益。