1 安全测试检查点1.1网页安全检查点1.1.1 输入的数据没有进行有效的控制和验证1) 数据类型(字符串,整型,实数,等)2) 允许的字符集3) 最小和最大的长度4) 是否允许空输入5) 参数是否是必须的6) 重复是否允许7) 数值范围8) 特定的值(枚举型)1.1.2 用户名和密码1) 检测接口程序连接登录时,是否需要输入相应的用户2) 是否设置密码最小长度(密码强度)3) 用户名和密码中是否可以有空格或回车?4) 是否允许密码和用户名一致5) 防恶意注册:可否用自动填表工具自动注册用户? 6) 遗忘密码处理7) 有无缺省的超级用户?8) 有无超级密码?9) 是否有校验码?10) 密码错误次数有无限制?11) 大小写敏感?12) 口令不允许以明码显示在输出设备上13) 强制修改的时间间隔限制(初始默认密码)14) 口令的唯一性限制(看需求是否需要)15) 口令过期失效后,是否可以不登陆而直接浏览某个页面16) 哪些页面或者文件需要登录后才能访问/下载17) cookie中
