Web安全测试检查单

时间: 2018-12-13阅读: 1889标签: 安全

大类

细项

标记

备注

上传功能

绕过文件上传检查功能

P1

功能测试阶段覆盖

上传文件大小和次数限制

P1

 

注册功能

注册请求是否安全传输

P1

功能测试阶段覆盖

注册时密码复杂度是否后台检验

P1

功能测试阶段覆盖

激活链接测试

P1

功能测试阶段覆盖

重复注册

P1

 

批量注册问题

P1

 

登录功能

登录请求是否安全传输

P1

功能测试阶段覆盖

会话固定

P1

功能测试阶段覆盖

关键Cookie是否HttpOnly

P1

功能测试阶段覆盖

登录请求错误次数限制

P1

功能测试阶段覆盖

“记住我”功能

P1

功能测试阶段覆盖

本地存储敏感信息

P1

功能测试阶段覆盖

验证码功能

验证码的一次性

P1

 

验证码绕过

P1

 

短信验证码轰炸

P1

功能测试阶段覆盖

忘记密码功能

通过手机号找回

P1

 

通过邮箱找回

P1

 

密码安全性要求

密码复杂度要求

P1

功能测试阶段覆盖

密码保存要求

P1

功能测试阶段覆盖

横向越权测试

请测试所有接口越权情况

P1

功能测试阶段覆盖

纵向越权测试

请测试所有接口越权情况

P1

功能测试阶段覆盖

XSS测试

反射型XSS

P1

 

存储型XSS

P1

 

DOM型XSS

P1

 

SQL注入测试

SQL注入测试

P1

 

写接口限制测试

写接口限制测试

P1

 

CSRF测试

CSRF测试

P1

功能测试阶段覆盖

敏感信息泄露

SVN信息泄露

P1

 

页面泄露敏感信息

P1

 

目录遍历

目录遍历

P1

 

CRLF测试

CRLF测试

P1

 

任意文件读取

任意文件读取

P1

 

URL重定向测试

URL重定向测试

P2

 

点击劫持ClickJacking

页面点击劫持

P2

 

XXE

XXE测试

P1

 

SSRF

SSRF

P1

 

CORS问题

CORS问题

P2

 


来自:http://www.cnblogs.com/FengZiQ/p/10112564.html


站长推荐

1.云服务推荐: 国内主流云服务商,各类云产品的最新活动,优惠券领取。地址:阿里云腾讯云华为云

链接: http://www.fly63.com/article/detial/1576

Web 安全漏洞之文件上传

文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞

利用HTML5标签进行DDoS攻击的新方法揭秘

在此次攻击活动中,DDoS攻击请求峰值达到了7500次请求/秒,在大概4个小时内攻击者总共利用了4000多个不同的用户向攻击目标发送了超过7000万次恶意请求。Imperva的研究人员在其发布的安全分析报告中指出

HTTPS为什么是安全的?

超文本传输协议HTTP被用于在web浏览器和网站服务器之间传递信息,但以明文方式发送内容,被攻击者截取就可以直接读取内容信息,不适合传输敏感信息。为解决这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS

JavaScript防流量劫持【前端安全】

在网页开发的访问过程中,http是我们主要的访问协议。我们知道http是一种无状态的连接。即没有验证通讯双方的身份,也没有验证信息的完整性,所以很容易受到篡改

访问http网站Safari提示网站不安全怎么办?

macOS和iOS上的Safari在所有通过HTTP连接的地址栏中会显示“不安全”的警告。去年,谷歌Chrome和火狐MozillaFirefox是最先显示这种警告的主流浏览器。

企业网站怎么才能防御DDOS***?

他想要做一个网络安全防护,因为网站设计到了支付这一块的业务,所以要做网络安全防护,想要实时监测,如果有***发生需要第一时间知道情况。墨者安全告诉他可以的,那今天就讲讲企业网站怎么才能防御DDOS***?

Web 安全 之 OS command injection

在本节中,我们将解释什么是操作系统命令注入,描述如何检测和利用此漏洞,为不同的操作系统阐明一些有用的命令和技术,并总结如何防止操作系统命令注入。

总结对象安全访问处理方案

在前端项目开发与生产的过程中,“cannot read property of undefined”是一个常见的错误。从不可知得到一个空数据问题在所难免。面对这种问题我们该怎么办呢?

Js混淆安全加固

在安全攻防战场中,前端代码都是公开的,那么对前端进行加密有意义吗?可能大部分人的回答是,毫无意义,不要自创加密算法,直接用HTTPS吧。但事实上,即使不了解密码学,也应知道是有意义的,因为加密前和解密后的环节

如何保持JavaScript应用程序的安全?

JavaScript是一个高度依赖第三方库的生态系统。因此,确保JavaScript的安全需要遵循最佳实践来减少攻击。但是,我们如何保持JavaScript应用程序的安全?让我们来了解一下。

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!