安全性测试包括很多方面,安全性测试的工具又有很多,其中以AppScan最为全面,他几乎涵盖了所有安全测试的问题,并且能够生成一个安全测试报告。
以用户登录为例,安全测试需要注意哪些方面:
密码问题:
- 验证储存在后台的用户密码是否加密。
- 验证用户密码在网络中传输是否加密。
- 验证用户面是否具有时效性,到期后是否提示用户更改密码。
- 验证密码输入框是否支持复制和粘贴
- 验证用户密码
用户登录:
- 没有登陆的前提之下,在浏览器的地址栏中直接输入登录后的URL地址,判断一下是否跳转到用户登录界面。
- 当密码输入框中,输入用户密码后,能否在页面源码模式下查看。
- 同一个用户已经登录后,在其他PC端或手机登录之后,是否互斥。
- 同一用户在多台终端的浏览器上登录,验证登录的互斥性。
- 验证同一用户多次登录失败情况下,验证系统是否会组织后续的登录以应对暴力破解密码。
用户攻击:
- 用户名和密码输入框中输入“SQL注入攻击”字符串,验证系统返回页面
- 用户名和密码输入框中输入“跨站脚本攻击”字符串,验证系统的行为是否被篡改。
