输入的数据没有进行有效的控制和验证测试
1) 数据类型(字符串,整型,实数,等)
2) 允许的字符集
3) 最小和最大的长度
4) 是否允许空输入
5) 参数是否是必须的
6) 重复是否允许
7) 数值范围
8) 特定的值(枚举型)
9) 特定的模式(正则表达式)(注:建议尽量采用白名单)
用户名和密码模块测试
1) 检测接口程序连接登录时,是否需要输入相应的用户
2) 是否设置密码最小长度(密码强度)
3) 用户名和密码中是否可以有空格或回车?
4) 是否允许密码和用户名一致
5) 防恶意注册:可否用自动填表工具自动注册用户? (傲游等)
6) 遗忘密码处理
7) 有无缺省的超级用户?(admin等,关键字需屏蔽)
8) 有无超级密码?
9) 是否有校验码?
10) 密码错误次数有无限制?
11) 大小写敏感?
12) 口令不允许以明码显示在输出设备上
13) 强制修改的时间间隔限制(初始默认密码)
14) 口令的唯一性限制(看需求是否需要)
15) 口令过期失效后,是否可以不登陆而直接浏览某个页面
16) 哪些页面或者文件需要登录后才能访问/下载
17) cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息
网址权限测试
直接输入需要权限的网页地址可以访问避免研发只是简单的在客户端不显示权限高的功能项举例Bug:
1) 没有登录或注销登录后,直接输入登录后才能查看的页面的网址(含跳转页面),能直接打开页面;
2) 注销后,点浏览器上的后退,可以进行操作。
3) 正常登录后,直接输入自己没有权限查看的页面的网址,可以打开页面。
4) 通过Http抓包的方式获取Http请求信息包经改装后重新发送 5) 从权限低的页面可以退回到高的页面(如发送消息后,浏览器后退到信息填写页面,这就是错误的)
上传文件没有限制测试
1)上传文件还要有大小的限制。
2)上传木马病毒等(往往与权限一起验证)
3) 上传文件最好要有格式的限制;
不安全的存储测试
1)在页面输入密码,页面应显示 “*****”;
2) 数据库中存的密码应经过加密;
3) 地址栏中不可以看到刚才填写的密码;
4)右键查看源文件不能看见刚才输入的密码;
5) 帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号
操作时间的失效性测试
1) 检测系统是否支持操作失效时间的配置,同时达到所配置的时间内没有对界面进行任何操作时,检测系统是否会将用户自动失效,需要重新登录系统。
2) 支持操作失效时间的配置。
3) 支持当用户在所配置的时间内没有对界面进行任何操作则该应用自动失效。如,用户登陆后在一定时间内(例如15 分钟)没有点击任何页面,是否需要重新登陆才能正常使用。
日志完整性测试
1) 检测系统运行时是否会记录完整的日志如进行详单查询,检测系统是否会记录相应的操作员、操作时间、系统状态、操作事项、IP地址等。
2) 检测对系统关键数据进行增加、修改和删除时,系统是否会记录相应的修改时间、操作人员和修改前的数据记录 系统服务器安全检查点
1)检查关闭不必要的服务
2)是否建立安全账号策略和安全日志
3)是否已设置安全的IIS,删除不必要的IIS组件和进行IIS安全配置
4)Web站点目录的访问权限是否过大
5)服务器系统补丁是否打上,是否存在系统漏洞
6)扫描检测木马 数据库安全检查点
系统数据是否机密测试
1)尽量不要使用Sa账户,密码够复杂
2)严格控制数据库用户的权限,不要轻易给用户直接的查询、更改、插入、删除权限。可以只给用户以访问视图和执行存储过程的权限
3)数据库的帐号,密码(还有端口号)是不是直接写在配置文件里而没有进行加密
2.系统数据的完整性
3.系统数据可管理性
4.系统数据的独立性
5.系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)
1)服务器突然断电,这可能导致配置文件的错误导致无法访问或者数据的丢失;
2)重做日志发生损坏,这可能导致数据库管理员无法把数据恢复到故障发生时的点;
3)硬盘发生故障而导致数据丢失,这主要是要测试备份文件异地存放的有效性;
4)数据批量更新的错误处理,这主要是数据库备份测试数据库管理员在进行批量更新之前是否有先对数据库进行备份的习惯,等等。
支付宝接口检查点
1. 支付的接口
2. 支付的入口
3. 与各个银行的数据接口安全
4. 与支付宝的接口 网页安全测试工具 IBM AppScan IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。 HttpWatch HttpWatch是强大的网页数据分析工具.集成在Internet Explorer工具栏.包括网页摘要.Cookies管理.缓存管理.消息头发送/接受.字符查询.POST 数据和目录管理功能.报告输出 HttpWatch 是一款能够收集并显示页页深层信息的软件。它不用代理服务器或一些复杂的网络监控工具,就能够在显示网页同时显示网页请求和回应的日志信息。甚至可以显示浏览器缓存和IE之间的交换信息。集成在Internet Explorer工具栏。AcunetixWeb Vulnerability Acunetix Web Vulnerability是通过缓慢运行该软件和运行诸如交叉站点脚本和SQL涌入这样的流行的攻击方式来测试网站的安全性。在黑客攻击之前识别出购物车、窗体、安全区域和网络应用软件的攻击弱点。通过构建HTTP和HTTPS请求扩展攻击并且分析响应。创建或者定制弱点攻击。支持所有