软件测试中的安全测试包括哪些方面
来源:好兔宠物网
软件测试中的安全测试包括哪些⽅⾯
1.xss跨站脚本攻击
数据输⼊参数中输⼊简单的js语句看会不会执⾏
常见的恶意JS脚本有获取⽤户的cookie、或者是键盘钩⼦来记录⽤户的键盘输⼊
2.CSRF跨站请求伪造
是⼀种劫持受信任⽤户向服务器发送⾮预期请求的攻击⽅式
通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从⽽在并未授权的情况下执⾏在权限保护之下的操作。⽬前使⽤⼀般使⽤验证码来避免
3.sql 注⼊
在查询参数中,输⼊正确的查询条件1=1,其他SQL,查看返回结果⽬前这种安全性问题已经绝迹了,除⾮是lowb写的代码
4.登录认证
抓包是否存在明⽂的⽤户名和密码
5.代码注释
源代码注释部分是否含有敏感信息
6.锁定机制
多次登录错误,对账号进⾏临时锁定
7.验证码
验证码需⼀致⽅可通过验证
8.修改密码
需输⼊旧密码或者发送短信验证
9.默认账户名称
默认账户名称密码,设置复杂些
10.错误页⾯跳转提⽰
跳转的提⽰是否出现代码等错误,捕获异常跳转⾄同⼀错误页⾯,避免对外泄露详细错误信息
11.⽬录权限
a能够看到a上级的信息
因篇幅问题不能全部显示,请点此查看更多更全内容