登录模块测试,验证码测试,修改密码模块测试
输入输出模块测试,业务未授权访问模块测试,回退模块测试
业务办理模块测试,业务数据安全测试,业务接口模块测试
登录模块测试:
1:登录暴力破解测试:建议 修改验证码过期时间,或者单位时间内的失败尝试次数
2:本地加密传输数据:
3:登录失败信息测试:登录失败时,系统会明确回显用户登录失败的信息
4:cookie仿冒测试:对cookie中会话身份标识进行篡改 建议用户敏感信息数据,用session会话方式
5:session会话注销测试:当用户退出系统时,应将客户端的session清除,未及时消除,该认证会话会持续有效
6:session会话超时测试:
验证码测试:
1:验证码暴力破解:没有对验证码的失效时间和尝试失败的次数做限制,攻击者就可尝试在这个区间做暴力破解 建议:设置验证码失效时间,限制单位时间内的重复尝试次数
2:验证码重复使用测试:验证成功时 没有及时清除session,导致首次认证后可重复使用
3:验证码响应包绕过测试:注册账号填写任意验证码,提交并抓取响应包,修改返回信息,看是否注册成功
修改密码模块测试:
1:验证码暴力破解:建
本文探讨了业务安全中的核心测试环节,包括身份验证、授权、数据保护、交易安全及异常行为检测。通过深入理解这些测试点,可以有效提升系统的安全性,防止欺诈和数据泄露,确保用户信息和交易过程的安全。
最低0.47元/天 解锁文章
1136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
