Web安全测试检查单
大类 | 细项 | 标记 | 备注 |
上传功能 | 绕过文件上传检查功能 | P1 | 功能测试阶段覆盖 |
上传文件大小和次数限制 | P1 |
| |
注册功能 | 注册请求是否安全传输 | P1 | 功能测试阶段覆盖 |
注册时密码复杂度是否后台检验 | P1 | 功能测试阶段覆盖 | |
激活链接测试 | P1 | 功能测试阶段覆盖 | |
重复注册 | P1 |
| |
批量注册问题 | P1 |
| |
登录功能 | 登录请求是否安全传输 | P1 | 功能测试阶段覆盖 |
会话固定 | P1 | 功能测试阶段覆盖 | |
关键Cookie是否HttpOnly | P1 | 功能测试阶段覆盖 | |
登录请求错误次数限制 | P1 | 功能测试阶段覆盖 | |
“记住我”功能 | P1 | 功能测试阶段覆盖 | |
本地存储敏感信息 | P1 | 功能测试阶段覆盖 | |
验证码功能 | 验证码的一次性 | P1 |
|
验证码绕过 | P1 |
| |
短信验证码轰炸 | P1 | 功能测试阶段覆盖 | |
忘记密码功能 | 通过手机号找回 | P1 |
|
通过邮箱找回 | P1 |
| |
密码安全性要求 | 密码复杂度要求 | P1 | 功能测试阶段覆盖 |
密码保存要求 | P1 | 功能测试阶段覆盖 | |
横向越权测试 | 请测试所有接口越权情况 | P1 | 功能测试阶段覆盖 |
纵向越权测试 | 请测试所有接口越权情况 | P1 | 功能测试阶段覆盖 |
XSS测试 | 反射型XSS | P1 |
|
存储型XSS | P1 |
| |
dom型XSS | P1 |
| |
SQL注入测试 | SQL注入测试 | P1 |
|
写接口限制测试 | 写接口限制测试 | P1 |
|
CSRF测试 | CSRF测试 | P1 | 功能测试阶段覆盖 |
敏感信息泄露 | SVN信息泄露 | P1 |
|
页面泄露敏感信息 | P1 |
| |
目录遍历 | 目录遍历 | P1 |
|
CRLF测试 | CRLF测试 | P1 |
|
任意文件读取 | 任意文件读取 | P1 |
|
URL重定向测试 | URL重定向测试 | P2 |
|
点击劫持ClickJacking | 页面点击劫持 | P2 |
|
XXE | XXE测试 | P1 |
|
SSRF | SSRF | P1 |
|
CORS问题 | CORS问题 | P2 |
|
来自:http://www.cnblogs.com/FengZiQ/p/10112564.html
本文内容仅供个人学习、研究或参考使用,不构成任何形式的决策建议、专业指导或法律依据。未经授权,禁止任何单位或个人以商业售卖、虚假宣传、侵权传播等非学习研究目的使用本文内容。如需分享或转载,请保留原文来源信息,不得篡改、删减内容或侵犯相关权益。感谢您的理解与支持!
