功能测试的过程中有关数据安全性的检查点

最新推荐文章于 2022-11-22 12:34:23 发布
最新推荐文章于 2022-11-22 12:34:23 发布
阅读量276 收藏
点赞数
文章标签: 数据库 前端 ViewUI
原文链接:http://www.cnblogs.com/jiyanjiao-702521/p/9391641.html
版权

1.web端的页面,如密码数据框对密码的设置以及校验

  1).目前的密码复杂度太简单,只支持英文字符、数字,和长度在6到18位之间。请修改为:支持英文字符、数字、特殊字符,英文字符需要区分大小写,长度在6到18位之间。

    使用http://www.cmd5.com/破解密码,分分钟破解.

2.在数据库表中的一些如电话号码以及密码,qq号码等涉及用户隐私的,使用铭文存储

  1).在目前数据库中,用户/司机的电话号码、身份证号、QQ号、邮箱等敏感信息,均采用明文存储。如果数据库被黑,这些信息很容易泄露。请采用密文存储。例如:sys_user,jac_driver等等

3.使用fiddler抓包抓取前段发往后台的数据请求(如注册,新建等信息)时,发现一些敏感信息使用明文传输

  1).全局性数据安全问题,在目前的系统中,前端在往后台发送请求数据时,用户的敏感信息全部采用的明文传输。如果传输过程中数据包被截取,就可能导致用户的关键信息泄露。因此造成数据在传输过程中缺乏安全性,数据传输时,请将用户的敏感信息全部修改为密文方式传输

 

转载于:https://www.cnblogs.com/jiyanjiao-702521/p/9391641.html

weixin_30257433
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Burpsuite的安全测试十三:业务数据安全测试
chang_jinling的专栏
06-21 537
基于Burpsuite的安全测试十三:业务数据安全测试 情景1:商品支付金额篡改测试 在支付页面抓包并篡改支付金额,继续跳转到支付平台完成支付,可以实现用低价买入高价商品。 系统修复方案: 商品信息、如金额、折扣等原始数据的校验应来自服务器端,不应该相信客户端传来的内容。 情景2:商品订购数量篡改测试 在购物车抓包并将商品数量更改为非预期数额或者负数进行提交,如果后台对这些异常订单...
安全功能测试检查点.xlsx
05-04
超详细的针对Web应用的安全功能测试检查点,系统安全二级、三级的防护要求,可用于安全系数较高的网站发布前的安全测试
安全性测试(三)--数据库安全检查点
KerryRuan的专栏
04-06 5315
(三) 数据库安全检查点   1. 系统数据是否加密 尽量不要使用sa 账号严格控制数据库用户的权限,不要轻易给用户直接的查询\更改\插入\删除的权限数据库的账号和密码(还有端口号),是不是直接写在配置文件里未进行加密   2. 系统数据的完整性   3. 系统该数据的可管理性   4. 系统数据的独立性   5. 系统数据的可备份和恢复能力 服务器突然断
Web安全测试检查点
逗号的博客
07-15 655
(转自: https://www.cnblogs.com/mrgavin/p/11626792.html) Web安全测试检查点 上传功能 1.绕过文件上传检查功能 2.上传文件大小和次数限制 注册功能 1.注册请求是否安全传输 2.注册时密码复杂度是否后台检验 3.激活链接测试 4.重复注册 5.批量注册问题 登录功能 1.登录请求是否安全传输 2.会话固定:Session fixation attack(会话固定攻击)是利用服务器的session不变机制,借他人之手获得认证..
安全测试-数据安全测试(2)
qq_34381178的博客
08-01 3370
捣鼓了那么久,终于整理出来了,可能间会出现一些波折和各种因素,但遇到了咱就积极面对积极解决。经资料说明AndroidApp本地数据存储是使用SQLite数据库,是遵守ACID的关系数据库管理系统,它包含在一个相对小的C程序库。与许多其它数据库管理系统不同,SQLite不是一个客户端/服务器结构的数据库引擎,而是被集成在用户程序。SQLite查询看起来或多或少像SQL一样。在Android选择SQLite。.........
软件安全性测试(完整版)
05-30
软件安全性测试是一种专门用于评估软件产品在面临各种威胁时的防御能力,确保软件在设计、开发、运行过程不会因为潜在的安全漏洞而对用户数据或系统造成危害。这份由科大提供的完整版PPT详细阐述了软件安全性...
系统验收方案+性能测试方案+功能测试方案+安全测试方案
最新发布
04-18
例如,在物流大数据系统,可能需要测试数据录入、查询、分析、报告生成等功能是否正常。 2. 性能测试:性能测试旨在确定系统在不同负载和压力下的响应时间、吞吐量以及资源利用率。这包括负载测试(模拟正常或...
软件性能测试检查表-模板
03-05
11. **安全性考量**:虽然主要关注性能,但性能测试也可能涉及安全,例如检查在高负载下系统是否存在潜在的安全风险。 12. **持续集成与自动化**:现代测试倾向于自动化,检查表可能包含如何将性能测试纳入持续集成...
安全性测试培训.pptx
06-23
安全性测试,我们关注的主要目标是预防病毒入侵、防止后门安装、避免社会工程学攻击、限制权限提升和阻止跳板攻击。下面将详细讨论这些安全基础知识,以及安全检查规范、测试流程、测试用例设计和安全扫描工具的...
Web安全性测试1
08-08
Web安全性测试是确保网站及其应用程序在面临恶意攻击和未经授权访问时能够有效保护用户数据和系统安全的重要环节。以下是一些关键的知识点: 1. **权限验证**:在Web应用,用户应经过适当的验证才能访问特定资源...
安全性测试方法
yingyingyueyue的博客
11-22 3487
测试cookie是否进行了安全性方面的设置。例如secure=true,防止cookie在HTTP会话以明文传输;httponly=true,防止JS脚本读取cookie信息,防止XSS攻击。使用新版本有助于防止基于已知漏洞的XSS工具。安全的权限问题主要包括未授权访问和越权两大类。
常见的web安全测试项
focus on security
05-11 1032
序号 测试项 描述 1 SQL注入检测 数据库注入测试 2 文件类型注入 xml注入、文件数据库注入测试 3 账户授权测试 暴力猜接、越权访问、伪造登陆信息、用户数据存储等 4 数据传输测试 传输的数据是...
安全测试(BurpSuite)常见检查点
lemon_linaa的博客
10-30 3109
((一) 明文传输用户名/密码/验证码等敏感信息 问题:用户登录过程,在与服务器端交互时明文传输用户名、密码或者验证码等,可导致用户敏感信息泄露。 (二)Nmap端口扫描,确定开放的端口为业务需要 (三)对同一用户的错误登陆次数做限制,防止账号密码被暴力破解 (四)代码混淆,避免其他人反编译源代码并修改打包 (五)web表单的设计缺陷,防止sql注入 (六)会话更新,主要查看登陆成...
安全测试的测试点
qq_43519025的博客
11-11 380
安全纬度 敏感信息是否加密:密码前后端传输是否加密 sql 注入?(结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。) 逻辑漏洞: 批量注册重复消费问题?(比如,同一时间,同样的参数,高并发请求,是否只有一个 Http 请求注册成功) 同一手机号,不同邮箱,是否可以注册超过 3 个用户? 3、非功能性需求 - 性能纬度(压
软件安全性测试测试项目列表
一缕阳光
03-10 1197
随着互联网应用的普及,软件安全性越来越重要,今天我整理了一个软件安全性测试的列表,请大家仔细看看,看看有没有漏项,多给力,给予补充,在此谢过! 主题 项目列表 系统安全性及其测试方法 ³ 软件系统的安全性 ³ant: normal; font-style: normal; font-family: 'times new roman'; fo
安全性测试的测试点
热门推荐
狂飙兔的博客
10-18 1万+
安全性测试的测试点 1.跨网站脚本攻击 通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据 2.注入攻击 通过构造查询对数据库、LDAP和其他系统进行非法查询 3.恶意文件执行 在服务器上执行Shell 命令Execute,获取控制权 4.伪造跨站点请求 发起Blind 请求,模拟合法用户,要求转账等请求 5.不安全对象引用 不安全对象的引入,访问敏感文件和资源,WEB应
移动应用安全测试方法总结
weixin_33928467的博客
06-09 393
1.软件权限1)扣费风险:包括短信、拨打电话、连接网络等。2)隐私泄露风险:包括访问手机信息、访问联系人信息等。3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测4)限制/允许使用手机功能接入互联网5)限制/允许使用手机发送接收信息功能6)限制或使用本地连接7)限制/允许使用手机拍照或录音8)限制/允许使用手机读取用户数据9...
软件测试缺陷等级划分_众测项目功能测试、安全测试和兼容性缺陷等级区分定义...
weixin_33219863的博客
01-12 888
开发者发布众测项目时,用户非常关心缺陷等级区分定义,小编给大家详细说明一下,Alltesting众测平台严格定义,具体如下:功能测试项目和安全测试项目按缺陷严重性分为高低等级:高级缺陷导致操作系统崩溃;导致操作系统不响应;程序退出没有释放资源;导致其它应用程序出现异常(如无法启动、不响应、异常退出);其它导致操作系统或其它应用程序异常的情况;造成重大安全隐患情况(如机密性数据的泄密);程序挂起...
转:怎么做安全性测试?
weixin_30342209的博客
07-07 161
原文:http://mp.weixin.qq.com/s?__biz=MzIyMDE3NTcwNA==&mid=402577742&idx=1&sn=5641968b6be2103ab8feb5a0b1239468&scene=21#wechat_redirect 飞测说:一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值