安全测试-1.登录功能的安全测试

登录功能怎样做安全测试
1、登录时对用户名、密码、验证码的合法性验证
2、连续登录失败后的处理策略(比如:连续失败3次,锁定账号一段时间
3、用户名的规则
4、密码策略(比如:长度限制、字符限制、不能与账号相同等)
5、密码输入框不允许粘贴复制
6、用户登录密码是否是可见
7、是否有密码过期策略
8、密码是否采取符合要求的加密算法
9、密码不能明文传输
10、日志中是否记录明文密码
11、数据库中不能记录明文密码
12、验证码的失效时间验证
13、用户退出系统后是否删除了所有鉴权标记
14、是否可以使用后退键而不通过输入口令进入系统
15、检查是否有页面可以绕过登录页面进行访问
16、页面超时机制的验证
17、cookie中是否保存用户名密码,如果保存要加密
18、验证是否存在注入式sql攻击漏洞
19、对于安全性高的系统,最好使用https

原文地址:https://www.cnblogs.com/cmnz/p/9192324.html

时间: 2024-08-30 02:14:12

安全测试-1.登录功能的安全测试的相关文章

如何测试网页登录

测试网页登录分为功能测试.界面测试.性能测试.安全性测试.兼容性测试等五个大方面. 确认登陆的入口是网页直接登陆还是弹窗输入登陆. 功能测试: 1.登陆成功 正确用户名与密码登录进入页面 页面正确跳转入网站页面 2.登陆失败 不输入用户名与密码,直接点击登陆,相关信息提示 正确的用户名与错误的密码登录,提示密码错误 错误的用户名与错误密码登录,提示用户名不存在 3. 输入规则验证 用户名与密码输入超长或过短 用户名和密码中含空格符或其他特殊字符登陆 4.密码显示 密码密文显示 输入密码时键盘大小

如何测试网页登录页面

如何测试网页登录页面 这个面试题碰到过很多次, 再次总结下来. 具体需求: 有一个登陆页面, 上面有2个textbox, 一个提交按钮.  请针对这个页面设计30个以上的test case. 此题的考察目的: 面试者是否熟悉各种测试方法,是否有丰富的Web测试经验, 是否了解Web开发,以及设计Test case的能力 这个题目还是相当有难度的, 一般的人很难把这个题目回答好. 功能测试(Function test) 输入正确的用户名和密码,点击提交按钮,验证是否能正确登录. 输入错误的用户名或

从零开始学测试----网页登录界面

具体需求: 有一个登陆页面, (假如上面有2个textbox, 一个提交按钮. 请针对这个页面设计30个以上的test case.) 此题的考察目的: 面试者是否熟悉各种测试方法,是否有丰富的Web测试经验, 是否了解Web开发,以及设计Test case的能力 这个题目还是相当有难度的, 一般的人很难把这个题目回答好. 首先,你要了解用户的需求,比如这个登录界面应该是弹出窗口式的,还是直接在网页里面.对用户名的长度,和密码的强度(就是是不是必须多少位,大小写,特殊字符混搭)等.还有比如用户对界

CentOS 6.5玩转自制Linux、远程登录及Nginx安装测试

前言    系统定制在前面的博文中我们就有谈到过了,不过那个裁减制作有简单了点,只是能让系统跑起来而,没有太多的功能,也没的用户登录入口,而这里我们将详细 和深入的来谈谈Linux系统的详细定制过程和实现用户例如.远程登录和Nginx安装过程.一步一步从头开始定制属于我们自己的系统. 正文    首先我们先来简单的介绍一下我们这里定制属于自己的Linux系统的基本元素.而其实一些相关的信息也可以参考我前面写过的博文:总结之:CentOS 6.4系统裁减详解及装载网卡步骤 一个定制的linux内核

制作busybox完成自制Linux系统及远程登录和nginx安装测试

前言系统定制在前面的博文中我们就有谈到过了,不过那个裁减制作有简单了点,只是能让系统跑起来而,没有太多的功能,也没的用户登录入口,而这里我们将详细和深入的来谈谈Linux系统的详细定制过程和实现用户例如.远程登录和Nginx安装过程.一步一步从头开始定制属于我们自己的系统. 正文首先我们先来简单的介绍一下我们这里定制属于自己的Linux系统的基本元素,其中一些相关的信息也可以参考我前面写过的博文 一个定制的linux内核+一个定制的busybox就可以定制一个小型的Linux操作系统了,安装Dr

浅谈测试rhel7新功能时的感受及遇到的问题

半夜起来看世界杯,没啥激情,但是又怕错误意大利和英格兰的比赛,就看了rhel7 相关新功能的介绍. 安装还算顺利,安装的界面比以前简洁的多,很清爽,分类很是明确. 有些奇怪的是,我安装的时候,怕有些基础的包没有装上去,所以选定了mini和Web的类型,结果还是有些基础的包没有安装,比如 ifconfig . 虚拟机的网卡,被识别为ens,有意思. yum groupinstall Base 这样的话,就可以把一些基础的包打上.可以正常的时候ifconfig lsof  . 这里需要说明的是,re

课堂测试1 登录界面

1.网站系统开发需要什么技术 前台photoshop(美工必学的)+dreaweaver(css+div)+javacript,后台php .net  asp 等编程语言,要想做好网站HTML.JAVASCRIPT.CSS.数据库.服务器配置必须要学会. 在网上查了一下,要做好一个网站系统,要学习的技术有很多,简单列举一下: (1)java Java语言体系比较庞大,包括多个模块.从WEB项目应用角度讲有JSP.Servlet.JDBC.JavaBean(Application)四部分技术. (

使用tcpcopy导入线上流量进行功能和压力测试

- 假设我们要上线一个两年内不会宕机的先进架构.在上线前,免不了单元测试,功能测试,还有使用ab,webbench等等进行压力测试. 但这些步骤非生产环境下正式用户的行为.或许你会想到灰度上线,但毕竟可能会影响到部分用户,这怎么对得起我们两年内不宕机的承诺呢? 好在网易的 王斌 开发了tcpcopy, 可以导入线上流量进行功能和压力测试. tcpcopy介绍 tcpcopy是一种请求复制工具.可以将线上流量拷贝到测试机器,实时的模拟线上环境.在不影响线上用户的情况下,使用线上流量进行测试,以尽早

(转)用C#实现实现简单的 Ping 的功能,用于测试网络是否已经连通

本文转载自:http://blog.csdn.net/xiamin/archive/2009/02/14/3889696.aspx 用C#实现实现简单的 Ping 的功能,用于测试网络是否已经联通 1. 根据IP地址获得主机名称 /// <summary> /// 根据IP地址获得主机名称 /// </summary> /// <param name="ip">主机的IP地址</param> /// <returns>主机名称