安全测试通常要考虑的测试点

1,
问题:没有被验证的输入
测试方法:

数据类型(字符串,整型,实数,等)
允许的字符集

最小和最大的长度
是否允许空输入
参数是否是必须的
重复是否允许
数值范围
特定的值(枚举型)
特定的模式(正则表达式)

2,
问题:有问题的访问控制

测试方法:

主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址
例:从一个页面链到另一个页面的间隙可以看到URL地址
直接输入该地址,可以看到自己没有权限的页面信息,

3      错误的认证和会话管理

例:对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解析出来

4,缓冲区溢出

没有加密关键数据

例:view-source:http地址可以查看源代码

在页面输入密码,页面显示的是 *****,  右键,查看源文件就可以看见刚才输入的密码,

5,拒绝服务

分析:攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪。需要做负载均衡来对付。

6,不安全的配置管理

分析:Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护

程序员应该作的: 配置所有的安全机制,关掉所有不使用的服务,设置角色权限帐号,使用日志和警报。

分析:用户使用缓冲区溢出来破坏web应用程序的栈,通过发送特别编写的代码到web程序中,攻击者可以让web应用程序来执行任意代码。

7,注入式漏洞。
例:一个验证用户登陆的页面,

如果使用的sql语句为:

Select *  from  table A where  username=’’ + username+’’ and pass word …..

Sql 输入  ‘ or 1=1 ――  就可以不输入任何password进行攻击

8,不恰当的异常处理

分析:程序在抛出异常的时候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞,

9,不安全的存储

分析:帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号。

浏览器缓存:认证和会话数据不应该作为GET的一部分来发送,应该使用POST,

10        问题:跨站脚本(XSS)

分析:攻击者使用跨站脚本来发送恶意代码给没有发觉的用户,窃取他机器上的任意资料

测试方法:

?         HTML标签:<…>…</…>

?         转义字符:&(&);<(<);>(>); (空格) ;

?         脚本语言:

<script language=‘javascript’>

…Alert(‘’)

</script>

?         特殊字符:‘  ’ <  >  /

?         最小和最大的长度

?         是否允许空输入

了解更多测试知识访问如下链接:

https://edu.csdn.net/course/detail/22948

https://edu.csdn.net/lecturer/3215

https://edu.csdn.net/course/detail/30898

https://edu.csdn.net/course/detail/25768

安全测试需要考虑的测试点相关推荐

  1. 移动app测试流程与测试点

    移动app测试流程和测试点 1.接收版本 2.版本送测检查 3.ui测试 4.功能测试 5.性能Test 6.兼容性测试 7.上线步骤测试 8.联调测试 功能测试:各个功能点 测试客户端与pc端的交互 ...

  2. 【系统测试二】移动端测试类型和测试点

    文章目录 前言 1和PC端测试对比 2APP测试方式 3APP主要测试类型和测试点 3.1功能测试 3.2中断测试 3.3UE测试 3.4安装卸载测试 3.5兼容性测试 3.6稳定性测试 3.7性能测 ...

  3. 软件顶部的导航栏怎么测试,导航条测试点——你想到多少?

    关键字:软件测试.web测试 这两天网站在进行导航条改版,进行了测试,发现导航条测试有这么些测试点,今天想想记录一下吧,兴许可以唤醒写blog的动力.导航条到底有哪些测试点呢?期待各位同行补充各自的观 ...

  4. APP测试流程和测试点

    1 APP测试基本流程 1.1流程图 1.2测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两三周(即15个工作日),根据项目情况以及版本质量可适当缩短或延长测试时间.正式测试前先向 ...

  5. 移动互联网APP测试流程及测试点(转载) (二)

    2.1安全测试 2.1.1软件权限 1)扣费风险:包括发送短信.拨打电话.连接网络等 2)隐私泄露风险:包括访问手机信息.访问联系人信息等 3)对App的输入有效性校验.认证.授权.敏感数据存储.数据 ...

  6. App测试流程及测试点(个人整理版)-转

    单纯从功能测试的层面上来讲的话,APP 测试.web 测试 在流程和功能测试上是没有区别的. 系统架构方面: web项目,一般都是b/s架构,基于浏览器的 app项目,则是c/s的,必须要有客户端,用 ...

  7. App详细测试流程及测试点

    1 APP测试基本流程 1.1预估测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两周(即10个工作日,一人份工作量),根据项目情况以及版本质量可适当缩短或延长测试时间.正式测试前先 ...

  8. App测试流程及测试点(个人整理版)

    1 APP测试基本流程 1.1流程图 1.2测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两三周(即15个工作日),根据项目情况以及版本质量可适当缩短或延长测试时间.正式测试前先向 ...

  9. 移动互联网app测试流程以及测试点

    Table of Contents 1.APP测试基本流程 1.1流程图 1.2测试周期 1.3测试资源 1.4日报及产品上线报告 2 App测试点 2.1安全测试 2.1.1软件权限 2.1.2安装 ...

最新文章

  1. 设置 IntelliJ IDEA 智能提醒时忽略大小写
  2. js(三) ajax异步局部刷新技术底层代码实现
  3. mysql rowdatapacket_arrays – 将此RowDataPacket对象数组缩小为单个对象
  4. 数学建模灵敏度分析_数学建模中的灵敏度分析,到底在分析什么?
  5. 黑苹果macOS Sierra 10.12 安装教程(venue11 pro测试)
  6. Linux中 Vi的使用
  7. OpenGL基础2:OpenGL简介
  8. WebCollector 简介与 快速入门
  9. Ubuntu下局域网内+花生壳远程调试程序
  10. PHP5中PDO的简单使用
  11. html5 语音直播,一种基于HTML5浏览器的音视频直播方法与流程
  12. 纬地道路纵断面设计教程_道路BIM模型快速生成
  13. scintilla下载地址及scintilla文档教程
  14. 用Python回忆QQ空间里的青春
  15. 后端使用postman进行测试
  16. 导入com.google.android.maps.jar安装包问题
  17. 机器学习因子:在线性因子模型中捕捉非线性
  18. 有关UEFI,GPT分区以及系统引导等问题的了解
  19. sql数据库去重语法_oracle大数据去重sql语句
  20. 学习淘宝分享出来的链接web检测打开原生App

热门文章

  1. php windows 网络流量,PHP系统流量分析的程序
  2. 输变电设备物联网节点设备无线组网协议_AIS-Link-艾森智能的工业物联网连接协议...
  3. 在vSAN中存储ESXi核心转储和暂存分区(2074026)
  4. 从vCenter 6.7升级到7.0
  5. 压测学习总结(7)——Jmeter性能测试之脚本增强
  6. Java基础学习总结(168)——为什么推荐在RPC的接口中入参和出参都不要使用枚举
  7. App后台开发运维和架构实践学习总结(13)——OAuth 2.0 概述流程理解
  8. Quartz学习总结(2)——定时任务框架Quartz详解
  9. Git学习总结(4)——我的Git忽略文件与忽略文件提交规则和配置总结
  10. hbase数据读取优化_read读取优化_HBase最佳实践_HBase开发指南_云数据库 HBase - 阿里云...