登录功能怎样做安全性测试
1、登录时对用户名、密码、验证码的合法性验证
2、连续登录失败后的处理策略(比如:连续失败3次,锁定账号一段时间
3、用户名的规则
4、密码策略(比如:长度限制、字符限制、不能与账号相同等)
5、密码输入框不允许粘贴复制
6、用户登录密码是否是可见
7、是否有密码过期策略
8、密码是否采取符合要求的加密算法
9、密码不能明文传输
10、日志中是否记录明文密码
11、数据库中不能记录明文密码
12、验证码的失效时间验证
13、用户退出系统后是否删除了所有鉴权标记
14、是否可以使用后退键而不通过输入口令进入系统
15、检查是否有页面可以绕过登录页面进行访问
16、页面超时机制的验证
17、cookie中是否保存用户名密码,如果保存要加密
18、验证是否存在注入式sql攻击漏洞
19、对于安全性高的系统,最好使用https