摘抄网上关于安全性测试及本身项目经历的总结,记录几个安全性测试的关注点:
一.安全性检查从高到低,包含的几个方面
1.基础网络安全
2.系统安全网
3.数据库安全
4.接口安全
5.网页安全
二.测试检查详解
1.输入框的校验
a.输入的数据类型要求
b.输入的数据最大/最小长度
c.是否允许空输入
d.输入的字符串的组合,如中+英+数字之类的
e.重复输入是否允许
2.用户名和密码
a.接口连续登录时,是否需要重新验证账号
b.密码是否有最小长度要求
c.用户名和密码是否可以有空格或回车
d.用户名和密码是否可以相同
e.忘记密码处理?
f.有无校验码
g.密码输入错误次数限制
h.大小写是否区分
3.上传文件
a.文件大小有没有限制
b.文件类型有没有限制
c.有无图片规格限制
4.不安全的存储(摘抄复制——后续理解)
a.在页面输入密码,页面应显示:******
b.数据库中存在的密码应经过加密
c.地址栏中不可以看到刚填写的密码
d.右键查看源文件不能看见刚才输入的密码
5.操作时间的失效性(摘抄复制——后续理解)
a.系统是否支持操作失效时间的配置,同时达到所配置的时间内没有对页面进行任何操作室,检测系统是否会将用户自动失效,需要重现登陆
b.支持操作失效时间的配置
c.支持当用户在所配置的时间内没有对页面进行任何操作则该应用自动失效
6. 日志完整性(摘抄复制——后续理解)
a.检测系统运行时是否记录完整的日志
b检测系统对关键数据进行增加,修改和删除时系统是否记录相应的修改时间,操作人员和修改前的数据记录