安全测试需要考虑的测试点
安全测试通常要考虑的测试点
1,
问题:没有被验证的输入
测试方法:
数据类型(字符串,整型,实数,等)
允许的字符集
最小和最大的长度
是否允许空输入
参数是否是必须的
重复是否允许
数值范围
特定的值(枚举型)
特定的模式(正则表达式)
2,
问题:有问题的访问控制
测试方法:
主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址
例:从一个页面链到另一个页面的间隙可以看到URL地址
直接输入该地址,可以看到自己没有权限的页面信息,
3 错误的认证和会话管理
例:对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解析出来
4,缓冲区溢出
没有加密关键数据
例:view-source:http地址可以查看源代码
在页面输入密码,页面显示的是 *****, 右键,查看源文件就可以看见刚才输入的密码,
5,拒绝服务
分析:攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪。需要做负载均衡来对付。
6,不安全的配置管理
分析:Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护
程序员应该作的: 配置所有的安全机制,关掉所有不使用的服务,设置角色权限帐号,使用日志和警报。
分析:用户使用缓冲区溢出来破坏web应用程序的栈,通过发送特别编写的代码到web程序中,攻击者可以让web应用程序来执行任意代码。
7,注入式漏洞。
例:一个验证用户登陆的页面,
如果使用的sql语句为:
Select * from table A where username=’’ + username+’’ and pass word …..
Sql 输入 ‘ or 1=1 ―― 就可以不输入任何password进行攻击
8,不恰当的异常处理
分析:程序在抛出异常的时候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞,
9,不安全的存储
分析:帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号。
浏览器缓存:认证和会话数据不应该作为GET的一部分来发送,应该使用POST,
10 问题:跨站脚本(XSS)
分析:攻击者使用跨站脚本来发送恶意代码给没有发觉的用户,窃取他机器上的任意资料
测试方法:
? HTML标签:<…>…</…>
? 转义字符:&(&);<(<);>(>); (空格) ;
? 脚本语言:
<script language=‘javascript’>
…Alert(‘’)
</script>
? 特殊字符:‘ ’ < > /
? 最小和最大的长度
? 是否允许空输入
了解更多测试知识访问如下链接:
https://edu.csdn.net/course/detail/22948
https://edu.csdn.net/lecturer/3215
https://edu.csdn.net/course/detail/30898
https://edu.csdn.net/course/detail/25768
安全测试需要考虑的测试点相关推荐
- 移动app测试流程与测试点
移动app测试流程和测试点 1.接收版本 2.版本送测检查 3.ui测试 4.功能测试 5.性能Test 6.兼容性测试 7.上线步骤测试 8.联调测试 功能测试:各个功能点 测试客户端与pc端的交互 ...
- 【系统测试二】移动端测试类型和测试点
文章目录 前言 1和PC端测试对比 2APP测试方式 3APP主要测试类型和测试点 3.1功能测试 3.2中断测试 3.3UE测试 3.4安装卸载测试 3.5兼容性测试 3.6稳定性测试 3.7性能测 ...
- 软件顶部的导航栏怎么测试,导航条测试点——你想到多少?
关键字:软件测试.web测试 这两天网站在进行导航条改版,进行了测试,发现导航条测试有这么些测试点,今天想想记录一下吧,兴许可以唤醒写blog的动力.导航条到底有哪些测试点呢?期待各位同行补充各自的观 ...
- APP测试流程和测试点
1 APP测试基本流程 1.1流程图 1.2测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两三周(即15个工作日),根据项目情况以及版本质量可适当缩短或延长测试时间.正式测试前先向 ...
- 移动互联网APP测试流程及测试点(转载) (二)
2.1安全测试 2.1.1软件权限 1)扣费风险:包括发送短信.拨打电话.连接网络等 2)隐私泄露风险:包括访问手机信息.访问联系人信息等 3)对App的输入有效性校验.认证.授权.敏感数据存储.数据 ...
- App测试流程及测试点(个人整理版)-转
单纯从功能测试的层面上来讲的话,APP 测试.web 测试 在流程和功能测试上是没有区别的. 系统架构方面: web项目,一般都是b/s架构,基于浏览器的 app项目,则是c/s的,必须要有客户端,用 ...
- App详细测试流程及测试点
1 APP测试基本流程 1.1预估测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两周(即10个工作日,一人份工作量),根据项目情况以及版本质量可适当缩短或延长测试时间.正式测试前先 ...
- App测试流程及测试点(个人整理版)
1 APP测试基本流程 1.1流程图 1.2测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两三周(即15个工作日),根据项目情况以及版本质量可适当缩短或延长测试时间.正式测试前先向 ...
- 移动互联网app测试流程以及测试点
Table of Contents 1.APP测试基本流程 1.1流程图 1.2测试周期 1.3测试资源 1.4日报及产品上线报告 2 App测试点 2.1安全测试 2.1.1软件权限 2.1.2安装 ...
最新文章
- 设置 IntelliJ IDEA 智能提醒时忽略大小写
- js(三) ajax异步局部刷新技术底层代码实现
- mysql rowdatapacket_arrays – 将此RowDataPacket对象数组缩小为单个对象
- 数学建模灵敏度分析_数学建模中的灵敏度分析,到底在分析什么?
- 黑苹果macOS Sierra 10.12 安装教程(venue11 pro测试)
- Linux中 Vi的使用
- OpenGL基础2:OpenGL简介
- WebCollector 简介与 快速入门
- Ubuntu下局域网内+花生壳远程调试程序
- PHP5中PDO的简单使用
- html5 语音直播,一种基于HTML5浏览器的音视频直播方法与流程
- 纬地道路纵断面设计教程_道路BIM模型快速生成
- scintilla下载地址及scintilla文档教程
- 用Python回忆QQ空间里的青春
- 后端使用postman进行测试
- 导入com.google.android.maps.jar安装包问题
- 机器学习因子:在线性因子模型中捕捉非线性
- 有关UEFI,GPT分区以及系统引导等问题的了解
- sql数据库去重语法_oracle大数据去重sql语句
- 学习淘宝分享出来的链接web检测打开原生App
热门文章
- php windows 网络流量,PHP系统流量分析的程序
- 输变电设备物联网节点设备无线组网协议_AIS-Link-艾森智能的工业物联网连接协议...
- 在vSAN中存储ESXi核心转储和暂存分区(2074026)
- 从vCenter 6.7升级到7.0
- 压测学习总结(7)——Jmeter性能测试之脚本增强
- Java基础学习总结(168)——为什么推荐在RPC的接口中入参和出参都不要使用枚举
- App后台开发运维和架构实践学习总结(13)——OAuth 2.0 概述流程理解
- Quartz学习总结(2)——定时任务框架Quartz详解
- Git学习总结(4)——我的Git忽略文件与忽略文件提交规则和配置总结
- hbase数据读取优化_read读取优化_HBase最佳实践_HBase开发指南_云数据库 HBase - 阿里云...