安全测试(BurpSuite)常见检查点
( (一) 明文传输用户名/密码/验证码等敏感信息
问题:用户登录过程中,在与服务器端交互时明文传输用户名、密码或者验证码等,可导致用户敏感信息泄露。
(二)使用Nmap工具进行端口扫描,确定开放的端口为业务需要
(三)对同一用户的错误登陆次数做限制,防止账号密码被暴力破解
(四)代码混淆,避免其他人反编译源代码并修改打包
(五)web表单的设计缺陷,防止sql注入
(六)会话更新,主要查看登陆成功之后是否更新会话标识
(七)网页验证码一次性有效,程序中验证码都是同一个,只要不刷新页面(只要不发送获取验证码的请求getCaptchaImage),验证码就可以反复使用。这是验证码被绕过的典型案例,验证码验证通过后,需要失效操作。
(八)密码等敏感信息保存在数据库中需要加密,不能明文保存,防止窃取密码,加盐后MD5保存
(九)xss漏洞
例:http://***=1"><sCrIpT>alert(41651)</sCrIpT>
(十)csrf漏洞
博客地址:WEB安全测试要点总结_mathlpz666的博客-CSDN博客_web安全测试方法
安全测试(BurpSuite)常见检查点相关推荐
- python 数据逐个验证_案例实战 | Python 实现 AB 测试中常见的分层抽样与假设检验 (附代码和数据集)...
在这里插入图片描述 作者 l 萝卜 本文会将原理知识穿插于代码段中,相关代码和数据集可在公众号 " 数据分析与商业实践 " 后台回复 " AB测试 " 获取. ...
- Web测试的常见测试点
Web测试是常见的测试场景,下面从页面,页面元素,功能,提示信息,容错性,权限,键盘操作部分讲述常见的测试点. 1.页面部分 (1)页面清单是否完整(是否已经将所需要的页面全部列出来了) (2)页面是 ...
- 深圳软件测试培训:测试中常见移动端基础知识
深圳软件测试培训:测试中常见移动端基础知识 什么是Activity? 四大组件之一,一般的,一个用户交互界面对应一个activity setContentView() ,// 要显示的布局 , act ...
- HDMI符合性测试的常见失败分析
自从几年前HDMI标准发布以来,它已经获得了广泛的应用.为了贴上HDMI的标志,所有的HDMI产品必须通过HDMI符合性测试(HDMI CT).为了节省时间和金钱,消费者们应该在把产品送往授权测试中心 ...
- Win7兼容性测试及常见问题解答(一)
Win7兼容性测试及常见问题解答(一) 随着今年初微软高调宣布要停止对XP的支持,转而全力推行Win7平台:XP操作平台已经完成它的历史使命, 将会与我们渐行渐远:Win7时代的大幕已经拉起. IT人 ...
- 软件安全测试-BurpSuite使用详解
1.BurpSuite简介 Burp Suite 是用于攻击web 应用程序的集成平台,它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一 ...
- 常见存储过程分页PK赛——简单测试分析常见存储过程分页速度
数据的分页是我们再熟悉不过的功能了,各种各样的分页方式层出不穷.今天我把一些常见的存储过程分页列出来,再简单地测一下性能,算是对知识的总结,也是对您好想法的抛钻引玉.废话不多说,开始吧~~ 1.首先建 ...
- Web渗透测试中常见逻辑漏洞解析与实战
注:以下漏洞示例已由相关厂商修复,切勿非法测试! 0x01 漏洞挖掘 01 注册 注册中最常见的有两个,一个是恶意注册,另一个是账户遍历.一个好的注册界面应该是这样 或者这样的 而不是这样的 要么使 ...
- 移动app测试的多样性_web测试与移动App测试的常见测试要点
手机APP项目测试点(内容)总结 对于手机项目(应用软件),主要是进行系统测试. 而针对手机应用软件的系统测试,我们通常从如下几个角度开展测试工作: 功能模块测试 交叉事件测试 性能测试 安全测试 容 ...
- android app crash测试,APP常见崩溃原因和测试方法整理
测试过APP的人都应该发现,app崩溃是一类非常常见的问题,很多时候还是致命性的,这就要求我们测试人员要尽最大可能去找出软件当中的缺陷,减少app崩溃出现的概率,这里我将收集到的关于针对APP崩溃测试 ...
最新文章
- kotlin定义变量
- SAP QM 执行事务代码QS23为检验特性分配Selected Set的时候报错 - You cannot use entries from catalogs 1 and 3-
- UML之构件图和部署图
- 1.4 通过时间的反向传播-深度学习第五课《序列模型》-Stanford吴恩达教授
- 算法与面试之-如何准备算法面试
- 1、SELECT:数据表查询语句
- 4种kill某个用户所有进程的方法
- Spring框架 JdbcTemplate类 @Junit单元测试,可以让方法独立执行 如:@Test
- 如何定时备份远程mysql数据库
- 智能优化算法:蛇优化算法-附代码
- caffe数据格式(Google Protocol Buffers)
- 新员工进入公司,应告知的工作纪律
- Sql server 密钥
- WMS仓储条码管理系统解决方案
- 取消管理员取得所有权_解决win7系统下管理员取得所有权的技巧
- VueCLi跑项目时卡在98% after emitting CopyPlugin无法运行
- 还在搞三层架构?了解下 DDD 分层架构的三种模式吧
- java实时获取窗口大小_把游戏窗口的大小改变为640 X 480?
- Boss直聘怎么写出优秀的简历?
- ELK安装经常遇到的问题
热门文章
- sql server备份及导出表数据和结构
- 【群晖Nas开启WebDAV服务,路由器映射端口,实现Win10远程映射网路驱动器】
- 王者荣耀苹果微信哪个服务器最强,王者荣耀:国服最高战力!这三个英雄最高战力比拼ios微信区完胜...
- Java使用策略模式实现聚石塔接口调用
- 微信小程序(5)——下载图片
- MFC小游戏之坦克大战
- 网页游戏外挂辅助AMF模拟通讯必备
- 百度快照劫持是什么意思?怎么解决
- 王之泰201771010131《面向对象程序设计(java)》第十三周学习总结
- 【Ruby on Rails全栈课程】2.1 ruby语言入门