![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全性测试指南(全套)
完整一套web安全性测试教程,可直接应用于项目
莫慌搞安全
从业十年,甲乙方各种混,早就不慌了
展开
-
认证授权--账户管理不规范测试用例
2.关闭系统登录入口自动存储密码的功能。系统自动存储密码,或系统存在僵尸账号。3.密码框的密码是否自动保存。4.密码框的密码是否可以复制。1.删除长期不登陆的僵尸账号。3.密码框的密码不可以复制。1.检查账户最后登录日期。2.检查系统登录入口功能。原创 2023-11-02 09:25:52 · 165 阅读 · 0 评论 -
认证授权--web弱口令爆破测试用例
检查中间件控制台、远程管理软件、数据库等第三方组件是否有弱口令,检查网站管理员、1.尝试使用常见密码如:123456,password,111111等尝试登陆。技术人员、客服人员是否使用了弱口令作为账号的密码,以及是否存在默认密码的情况。2.使用默认口令进行登陆,如设备的初始密码,身份证后六位等尝试登陆;黑盒测试弱口令只是一方面,还可以通过问询密码策略,白盒等方式进行判断。2.SSH,FTP,Mysql,RDP等端口开启且可爆破。2.限制用户最大登陆次数,超过一定次数禁止用户登录。1.修改弱口令为强口令。原创 2023-11-02 09:19:11 · 197 阅读 · 0 评论 -
认证授权--越权访问测试用例
流程描述:在服务器接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的访问。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。原创 2023-11-02 09:01:06 · 296 阅读 · 0 评论 -
认证授权--任意文件下载测试用例
任意文件下载用例原创 2023-11-02 08:58:41 · 141 阅读 · 0 评论