軟件測試之一個安全測試的checklist來源: 作者: 發表時間:2009-04-22 08:47 點擊:296次獲取本文網址二維碼 軟件測試checklist軟件測試工具電信測試遊戲測試安全測試本地化測試手機測試Web測試其它相關軟件測試工程師入門軟件測試外包測試模板金融測試嵌入式測試雲測試軟件測試工程師職業發展單元測試功能測試測試用例性能測試自動測試測試管理缺陷管理測試認證敏捷測試 1. 不登錄系統,直接輸入登錄後的頁面的url是否可以訪問 2. 不登錄系統,直接輸入下載文件的url是否可以下載,如輸入http://url/download?name=file是否可以下載文件file 3. 退出登錄後按後退按鈕能否訪問之前的頁面 4. ID/密碼驗證方式中能否使用簡單密碼。 1. 不登錄系統,直接輸入登錄後的頁面的url是否可以訪問
2. 不登錄系統,直接輸入下載文件的url是否可以下載,如輸入http://url/download?name=file是否可以下載文件file
3. 退出登錄後按後退按鈕能否訪問之前的頁面
4. ID/密碼驗證方式中能否使用簡單密碼。如密碼標準爲6位以上,字母和數字混合,不能包含ID,連續的字母或數字不能超過n位
5. 重要信息(如密碼,身份證號碼,信用卡號等)在輸入或查詢時是否用明文顯示;在瀏覽器地址欄裏輸入命令javascrīpt:alert(doucument.cookie)時是否有重要信息;在html源碼中能否看到重要信息
6. 手動更改URL中的參數值能否訪問沒有權限訪問的頁面。如普通用戶對應的url中的參數爲l=e,高級用戶對應的url中的參數爲l=s,以普通用戶的身份登錄系統後將url中的參數e改爲s來訪問本沒有權限訪問的頁面
7. url裏不可修改的參數是否可以被修改
8. 上傳與服務器端語言(jsp、asp、php)一樣擴展名的文件或exe等可執行文件後,確認在服務器端是否可直接運行
9. 註冊用戶時是否可以以'--,' or 1=1 --等做爲用戶名
10. 傳送給服務器的參數(如查詢關鍵字、url中的參數等)中包含特殊字符(','and 1=1 --,' and 1=0 --,'or 1=0 --)時是否可以正常處理
11. 執行新增操作時,在所有的輸入框中輸入腳本標籤(<scrīpt>alert("")</scrīpt>)後能否保存
12. 在url中輸入下面的地址是否可以下載:http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/passwd
13. 是否對session的有效期進行處理
14. 錯誤信息中是否含有sql語句、sql錯誤信息以及web服務器的絕對路徑等
15. ID/密碼驗證方式中,同一個賬號在不同的機器上不能同時登錄
16. ID/密碼驗證方式中,連續數次輸入錯誤密碼後該賬戶是否被鎖定
17. 新增或修改重要信息(密碼、身份證號碼、信用卡號等)時是否有自動完成功能(在form標籤中使用autocomplete=off來關閉自動完成功能)
轉自:領測軟件測試網[http://www.ltesting.net]
原文鏈接:http://www.ltesting.net/ceshi/ceshijishu/aqcs/2009/0422/161986.html