Web安全测试检查单

时间: 2018-12-13阅读: 1427标签: 安全

大类

细项

标记

备注

上传功能

绕过文件上传检查功能

P1

功能测试阶段覆盖

上传文件大小和次数限制

P1

 

注册功能

注册请求是否安全传输

P1

功能测试阶段覆盖

注册时密码复杂度是否后台检验

P1

功能测试阶段覆盖

激活链接测试

P1

功能测试阶段覆盖

重复注册

P1

 

批量注册问题

P1

 

登录功能

登录请求是否安全传输

P1

功能测试阶段覆盖

会话固定

P1

功能测试阶段覆盖

关键Cookie是否HttpOnly

P1

功能测试阶段覆盖

登录请求错误次数限制

P1

功能测试阶段覆盖

“记住我”功能

P1

功能测试阶段覆盖

本地存储敏感信息

P1

功能测试阶段覆盖

验证码功能

验证码的一次性

P1

 

验证码绕过

P1

 

短信验证码轰炸

P1

功能测试阶段覆盖

忘记密码功能

通过手机号找回

P1

 

通过邮箱找回

P1

 

密码安全性要求

密码复杂度要求

P1

功能测试阶段覆盖

密码保存要求

P1

功能测试阶段覆盖

横向越权测试

请测试所有接口越权情况

P1

功能测试阶段覆盖

纵向越权测试

请测试所有接口越权情况

P1

功能测试阶段覆盖

XSS测试

反射型XSS

P1

 

存储型XSS

P1

 

DOM型XSS

P1

 

SQL注入测试

SQL注入测试

P1

 

写接口限制测试

写接口限制测试

P1

 

CSRF测试

CSRF测试

P1

功能测试阶段覆盖

敏感信息泄露

SVN信息泄露

P1

 

页面泄露敏感信息

P1

 

目录遍历

目录遍历

P1

 

CRLF测试

CRLF测试

P1

 

任意文件读取

任意文件读取

P1

 

URL重定向测试

URL重定向测试

P2

 

点击劫持ClickJacking

页面点击劫持

P2

 

XXE

XXE测试

P1

 

SSRF

SSRF

P1

 

CORS问题

CORS问题

P2

 


来自:http://www.cnblogs.com/FengZiQ/p/10112564.html


站长推荐

1.云服务推荐: 国内主流云服务商,各类云产品的最新活动,优惠券领取。地址:阿里云腾讯云华为云

2.广告联盟: 整理了目前主流的广告联盟平台,如果你有流量,可以作为参考选择适合你的平台点击进入

链接: http://www.fly63.com/article/detial/1576

关闭

一些安全相关的HTTP header

HTTP Strict-Transport-Security,简称为HSTS。X-Frame-Options:是否允许一个页面可在<frame>、<iframe>、<object>中展现的标记。X-XSS-Protection作用:防范XSS攻击。

企业网站怎么才能防御DDOS***?

他想要做一个网络安全防护,因为网站设计到了支付这一块的业务,所以要做网络安全防护,想要实时监测,如果有***发生需要第一时间知道情况。墨者安全告诉他可以的,那今天就讲讲企业网站怎么才能防御DDOS***?

AJAX请求真的不安全么?谈谈Web安全与AJAX的关系。

AJAX请求真的不安全么?AJAX请求哪里不安全?怎么样让AJAX请求更安全?本文包含的内容较多,包括AJAX,CORS,XSS,CSRF等内容,要完整的看完并理解需要付出一定的时间。

访问http网站Safari提示网站不安全怎么办?

macOS和iOS上的Safari在所有通过HTTP连接的地址栏中会显示“不安全”的警告。去年,谷歌Chrome和火狐MozillaFirefox是最先显示这种警告的主流浏览器。

贯彻 10 项原则,构建 Linux 系统安全体系

通过大量的实践经验,我们总结出 10 个最关键且有效的安全原则,分别是纵深防御、运用 PDCA 模型、最小权限法则、白名单机制、安全的失败、避免通过隐藏来实现安全、入侵检测、不要信任基础设施

第三方CSS安全吗?

第三方内容在其沙箱中具有很高的影响力。 虽然图像或沙盒iframe有着非常小的沙箱,但脚本和样式的作用范围却影响你的整个页面,甚至是整个站点。如果你担心用户会欺骗你的网站去加载第三方资源,可以使用CSP(内容安全策略)保证安全

XSS跨站脚本攻击

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。

30 分钟理解 CORB 是什么

我当前的 chrome 版本是 v68,如果是 v66 或更低版本可能提示的警告信息略有不同。印象中只对 CORS 比较熟悉,CORB 是个什么鬼?好奇心迫使我想要了解一下它到底是什么,于是暂时把手头工作放下查了一些资料并花时间汇总了一下,就有了这篇文章

前端安全之防范XSS

XSS大部分前端coder都不会陌生,全称:跨站脚本漏洞(Cross Site Scripting,简写作XSS)是Web应用程序在将数据输出或者展示到网页的时候存在问题,导致攻击者可以将对网站的正常功能造成影响甚至窃取或篡改用户个人信息

网站被劫持的方式都有哪些?

网络安全日益严峻,站长朋友们多多少少都遇到过被黑被劫持的经历,对于老老实实做人,认认真真做站的朋友来说,好不容易做出了一点成绩,一劫持就又回到解放前了,本期我们一起来探讨常见的网站被黑被劫持的手段有哪些

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!