| 大类 | 细项 | 标记 | 备注 |
| 上传功能 | 绕过文件上传检查功能 | P1 | 功能测试阶段覆盖 |
| 上传文件大小和次数限制 | P1 |
| |
| 注册功能 | 注册请求是否安全传输 | P1 | 功能测试阶段覆盖 |
| 注册时密码复杂度是否后台检验 | P1 | 功能测试阶段覆盖 | |
| 激活链接测试 | P1 | 功能测试阶段覆盖 | |
| 重复注册 | P1 |
| |
| 批量注册问题 | P1 |
| |
| 登录功能 | 登录请求是否安全传输 | P1 | 功能测试阶段覆盖 |
| 会话固定 | P1 | 功能测试阶段覆盖 | |
| 关键Cookie是否HttpOnly | P1 | 功能测试阶段覆盖 | |
| 登录请求错误次数限制 | P1 | 功能测试阶段覆盖 | |
| “记住我”功能 | P1 | 功能测试阶段覆盖 | |
| 本地存储敏感信息 | P1 | 功能测试阶段覆盖 | |
| 验证码功能 | 验证码的一次性 | P1 |
|
| 验证码绕过 | P1 |
| |
| 短信验证码轰炸 | P1 | 功能测试阶段覆盖 | |
| 忘记密码功能 | 通过手机号找回 | P1 |
|
| 通过邮箱找回 | P1 |
| |
| 密码安全性要求 | 密码复杂度要求 | P1 | 功能测试阶段覆盖 |
| 密码保存要求 | P1 | 功能测试阶段覆盖 | |
| 横向越权测试 | 请测试所有接口越权情况 | P1 | 功能测试阶段覆盖 |
| 纵向越权测试 | 请测试所有接口越权情况 | P1 | 功能测试阶段覆盖 |
| XSS测试 | 反射型XSS | P1 |
|
| 存储型XSS | P1 |
| |
| DOM型XSS | P1 |
| |
| SQL注入测试 | SQL注入测试 | P1 |
|
| 写接口限制测试 | 写接口限制测试 | P1 |
|
| CSRF测试 | CSRF测试 | P1 | 功能测试阶段覆盖 |
| 敏感信息泄露 | SVN信息泄露 | P1 |
|
| 页面泄露敏感信息 | P1 |
| |
| 目录遍历 | 目录遍历 | P1 |
|
| CRLF测试 | CRLF测试 | P1 |
|
| 任意文件读取 | 任意文件读取 | P1 |
|
| URL重定向测试 | URL重定向测试 | P2 |
|
| 点击劫持ClickJacking | 页面点击劫持 | P2 |
|
| XXE | XXE测试 | P1 |
|
| SSRF | SSRF | P1 |
|
| CORS问题 | CORS问题 | P2 |
|
转载于:https://www.cnblogs.com/FengZiQ/p/10112564.html
扫一扫
1616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
