转自:http://hi.baidu.com/dontcry/item/90c2bc466558c217886d1075

  1. 不登录系统,直接输入登录后的页面的URL是否可以访问;
  2. 不登录系统,直接输入下载文件的URL是否可以下载文件;如输入:http://url/download?name=file是否可以下载文件file
  3. 退出登录后,后退按钮能否访问之前的页面;
  4. ID/密码验证方式中能否使用简单密码;如密码标准为6位以上,字母和数字的组合,不包含ID,连接的字母或数字不能超过n位
  5. ID/密码验证方式中,同一个帐号在不同的机器上不同时登录;
  6. ID/密码验证方式中,连续数次输入错误密码后该帐户是否被锁定;
  7. 重要信息(如密码,身份证,信用卡号等)在输入或者查询时是否明文显示;
  8. 在浏览器地址栏中输入命令javascript:alert(doucument.cookie)时是否有重要信息;
  9. 在html源码中能否看到重要信息;
  10. 手动更改URL中的参数值能否访问没有权限访问的页面;如普通用户对应的URL中的参数为l=e,高级用户对应的URL中的参数为l=s,以普通用户的身份登录系统后将URL中的参数e改为s来访问没有权限访问的页面
  11. URL里不可修改的参数是否可以被修改;
  12. 上传与服务器端语言(jsp,asp,php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行;
  13. 注册用户时是否可以以‘--’or1=1—等做为用户名;
  14. 传送给服务器的参数(如查询关键字,URL中的参数等)中包含特殊字符(‘.’and1=1--.‘and1=0--.’.‘or 1=0--)时是否可以正常处理;
  15. 执行新增操作时,在所有的输入框中输入脚本标签(<script>alert(“”)</script>)后能否保存;
  16. 新增或修改重要信息(密码,身份证号码,信用卡号等)时是否有自动完成功能,(在form标签中使用autocomplete=0来关闭自动完成功能);
  17. 在URL中输入下面的地址是否可以下载,http://url/download.jsp?file=c:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/password
  18. 是否对session的有效期进行处理;
  19. 错误信息中是否含有SQL语句,SQL错误信息以及web服务器的绝对路径的等

【转】一个安全测试的CheckList相关推荐

  1. 软件系统安全性测试列表(Checklist)

    随着互联网应用的普及,软件安全性越来越重要,今天我整理了一个软件安全性测试的列表,请大家仔细看看,看看有没有漏项,多给力,给予补充,在此谢过! 主题 项目列表 系统安全性及其测试方法 ³  软件系统的 ...

  2. python测试开发自学教程-Web开发哪家强?看我用 Python 写一个颜值测试小工具

    我们知道现在有一些利用照片来测试颜值的网站或软件,其实使用 Python 就可以实现这一功能,本文我们使用 Python 来写一个颜值测试小工具. 简介 要实现颜值测试功能,大致有两种方式:一种是自己 ...

  3. 经典笔试题:用C写一个函数测试当前机器大小端模式

    "用C语言写一个函数测试当前机器的大小端模式"是一个经典的笔试题,如下使用两种方式进行解答: 1. 用union来测试机器的大小端 1 #include <stdio.h&g ...

  4. 使用 kind 快速搭建一个 Kubernetes 测试环境

    使用 kind 快速搭建一个 Kubernetes 测试环境 Intro kind(Kubernetes IN Docker) 是一个基于 docker 构建 Kubernetes 集群的工具,非常适 ...

  5. 利用 Python 写一个颜值测试小工具

    我们知道现在有一些利用照片来测试颜值的网站或软件,其实使用 Python 就可以实现这一功能,本文我们使用 Python 来写一个颜值测试小工具. 很多人学习python,不知道从何学起. 很多人学习 ...

  6. mysql c测试程序_MySQL · 最佳实践 · 一个TPC-C测试工具sqlbench使用-阿里云开发者社区...

    TPC-C是数据库系统经常使用的一个性能测试标准,目前开源社区里有几个可以使用的TPC-C测试工具,如BenchmarkSQL.DBT2. tpcc-mysql等.今天这里要介绍的是另一个TPC-C测 ...

  7. unity3d发布linux版本_密码管理器 1Password 发布第一个 Linux 测试版本

    1Password 是知名的跨平台密码管理器工具,刚刚发布了第一个 Linux 测试版本,拥有创建.搜索建议.共享.剪贴板清理.快捷键等功能.@Appinn 虽然青小蛙不是 Linux 桌面用户,但为 ...

  8. 用java实现一个算术测试软件,最新Java算术测试

    <最新Java算术测试>由会员分享,可在线阅读,更多相关<最新Java算术测试(8页珍藏版)>请在人人文库网上搜索. 1.精品文档组件及事件处理1实验1算术测试一,实验目的学习 ...

  9. 用c++写一个cps测试

    用c++写一个cps测试 代码 #include<iostream> #include<windows.h> #include<cmath> #define key ...

最新文章

  1. 对一次短路故障的分析与总结
  2. Tomcat启动报404(eclipse)
  3. restful风格的增删改查
  4. 『飞秋』在.NET 4中调用GDAL库时遇到的问题及解决方法
  5. protopype 和 __proto__的区别
  6. 有书共读:《穷查理宝典》
  7. java计算机毕业设计直播购物平台源码+数据库+系统+lw文档
  8. HTB打靶(Active Directory 101 Forest)
  9. 什么是软件危机?它有哪些典型表现?为什么会出现软件为危机?
  10. 2021年机械员-岗位技能(机械员)考试题及机械员-岗位技能(机械员)免费试题
  11. 华为文化:任正非的“管理”门道
  12. thead/thead标签怎么用?
  13. git - 本地代码与远程仓库合并
  14. 医学案例统计分析与SAS应用(笔记)一
  15. 文亡用计算机,手机计算器阵亡 10%+10%=0.11?
  16. ActionList
  17. Brightcove推出新平台,以创纪录的时间在设备上发布OTT视频应用
  18. NPM Cannot find module ‘xxx‘
  19. 个人相册HTML照片墙源码
  20. 干货分享丨如何创建在线培训手册的五大步骤,附带工具推荐。

热门文章

  1. ODBC的JAR包和PLSQL
  2. Ansible 详细用法部署安装
  3. MySQL utf8mb4字符集配置,支持emoji表情存储
  4. 开始gentoo之旅
  5. 学习《Python核心编程》做一下知识点提要,方便复习(二)
  6. Myeclipse 操作技巧
  7. 深度解析:微软云计算平台的通信技术与应用开发
  8. python加密解密算法_Python基于DES算法加密解密实例
  9. Android apk反编译工具介绍
  10. 离线安装老版本android sdk,亲测,linux、windows、mac通用