Web安全测试检查单

时间: 2018-12-13阅读: 2188标签: 安全

大类

细项

标记

备注

上传功能

绕过文件上传检查功能

P1

功能测试阶段覆盖

上传文件大小和次数限制

P1

 

注册功能

注册请求是否安全传输

P1

功能测试阶段覆盖

注册时密码复杂度是否后台检验

P1

功能测试阶段覆盖

激活链接测试

P1

功能测试阶段覆盖

重复注册

P1

 

批量注册问题

P1

 

登录功能

登录请求是否安全传输

P1

功能测试阶段覆盖

会话固定

P1

功能测试阶段覆盖

关键Cookie是否HttpOnly

P1

功能测试阶段覆盖

登录请求错误次数限制

P1

功能测试阶段覆盖

“记住我”功能

P1

功能测试阶段覆盖

本地存储敏感信息

P1

功能测试阶段覆盖

验证码功能

验证码的一次性

P1

 

验证码绕过

P1

 

短信验证码轰炸

P1

功能测试阶段覆盖

忘记密码功能

通过手机号找回

P1

 

通过邮箱找回

P1

 

密码安全性要求

密码复杂度要求

P1

功能测试阶段覆盖

密码保存要求

P1

功能测试阶段覆盖

横向越权测试

请测试所有接口越权情况

P1

功能测试阶段覆盖

纵向越权测试

请测试所有接口越权情况

P1

功能测试阶段覆盖

XSS测试

反射型XSS

P1

 

存储型XSS

P1

 

DOM型XSS

P1

 

SQL注入测试

SQL注入测试

P1

 

写接口限制测试

写接口限制测试

P1

 

CSRF测试

CSRF测试

P1

功能测试阶段覆盖

敏感信息泄露

SVN信息泄露

P1

 

页面泄露敏感信息

P1

 

目录遍历

目录遍历

P1

 

CRLF测试

CRLF测试

P1

 

任意文件读取

任意文件读取

P1

 

URL重定向测试

URL重定向测试

P2

 

点击劫持ClickJacking

页面点击劫持

P2

 

XXE

XXE测试

P1

 

SSRF

SSRF

P1

 

CORS问题

CORS问题

P2

 


来自:http://www.cnblogs.com/FengZiQ/p/10112564.html


站长推荐

1.云服务推荐: 国内主流云服务商,各类云产品的最新活动,优惠券领取。地址:阿里云腾讯云华为云

链接: http://www.fly63.com/article/detial/1576

AJAX请求真的不安全么?谈谈Web安全与AJAX的关系。

AJAX请求真的不安全么?AJAX请求哪里不安全?怎么样让AJAX请求更安全?本文包含的内容较多,包括AJAX,CORS,XSS,CSRF等内容,要完整的看完并理解需要付出一定的时间。

利用CSS注入(无iFrames)窃取CSRF令牌

要做到无iFrame,我将使用一种类似于之前我讨论过的方法:我将创建一个弹窗,然后在设置计时器后更改弹出窗口的位置。使用这种方法,我仍然可以加载受害者的CSS,但我不再依赖于受害者是否允许iFrame。

Web 安全漏洞之文件上传

文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞

第三方 CSS 并不安全

第三方内容在其沙箱区域内具有强大的能力。如果你担心恶意用户诱使你的网站加载第三方资源,可以通过 CSP 用作防护手段,其可以限制加载图片,脚本和样式的来源。

JavaScript防流量劫持【前端安全】

在网页开发的访问过程中,http是我们主要的访问协议。我们知道http是一种无状态的连接。即没有验证通讯双方的身份,也没有验证信息的完整性,所以很容易受到篡改

web安全之网络安全

web安全是网络安全的一部分,怎么说呢,网络安全是个大范围,可以引申为互联网安全。包括软硬件在内,例如其中的数据安全就是指从数据的产生-传输-存储等环节都要保证其安全性。那么web安全就是特指web层面的

如何保持JavaScript应用程序的安全?

JavaScript是一个高度依赖第三方库的生态系统。因此,确保JavaScript的安全需要遵循最佳实践来减少攻击。但是,我们如何保持JavaScript应用程序的安全?让我们来了解一下。

最全 HTTP 安全响应头设置指南

CSP 通过指定允许加载哪些资源的形式,来防止跨站脚本注入。在本文所列的安全响应报头中,正确地设置和维护 CSP,可能是最耗时的,也是最容易出现风险的。在开发 CSP 的过程中,要谨慎充分地测试它

前端安全_浅谈JavaScript拦截XSS攻击

XSS/跨站脚本攻击,是一种代码注入网页攻击,攻击者可以将代码植入到其他用户都能访问到的页面(如论坛、留言板、贴吧等)中。如今,XSS 攻击所涉及的场景愈发广泛。越来越多的客户端软件支持 html 解析和 JavaScript 解析,比如:HTML 文档、XML 文档、Flash、PDF、QQ

总结对象安全访问处理方案

在前端项目开发与生产的过程中,“cannot read property of undefined”是一个常见的错误。从不可知得到一个空数据问题在所难免。面对这种问题我们该怎么办呢?

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!