CA2107:review deny and permit only usage(检查deny 权限和permit only 权限的使用情况)
CA2108:review declarative security on value types(检查有关值类型的志明性安全)
CA2109:review visible event handlers(检查可见的事件处理程序)
CA2111:pointers should not be visible(指针应为不可见)
CA2112:secured types should not expose fields(受保护的类型不应公开字段)
CA2114:Method security should be a superset of type(方法安全性应是类型安全性的超集)
CA2115:call GC.KeepAlive when using native resources(使用本机资料时调用GC.KeepAlive)
CA2116:Aptca methods should only call Aptca methods(Aptca 方法应只调用Aptca方法)
CA2117:Aptca types should only extend Aptca base types(Aptca类型应只扩展Aptca基类型)
CA2118:review SuppressUnmanagedCodeSecurityAttribute usage(检查取消非托管代码安全性的使用情况)
CA2119:Seal methods that satisfy private interfaces(密封满意足私有接口的方法)
CA2120:Secure serialization constructors(保护序列化构造函数)
CA2121:static constructors should be private(静态构造函数应为私有)
CA2122:do not indirectly expose methods with link demands(不要使用链接请求间接公开方法)
CA2123:override link demands should be indentical to base(重写的链接请求应与基相同)
CA2124:wrap vulnerable finally clauses in outer try(在外部try块中包装易受攻击的finally子句)
……………………
查看全文请点击下载:http://www.51testing.com/html/02/n-227802.html
2.6 参数篡改
1、URL参数传递时各种构造XSS脚本测试,包括将其编译为URL编码和HTML编译后提交。
2、各种sql注入脚本测试,包括将其编译为URL编码和HTML编译后提交。
3、改变为其它正常值,查看是否能获得其它不应该获得的值(良好的防护措施为,当URL参数值为其它时跳转至登录页)。
2.7 Cookie安全
1、删除所有cookie,将cookie完全屏蔽,正常运行系统(一般会导致系统无法运行,良好的系统,将会提示用户开启此浏览器设置)。
2、删除所有cookie,将cookie设置为自动提示,正常运行系统,提示时随机选择启用和禁用(有可能会导致系统出现逻辑错误等,良好的系统,将会提示用户开启此浏览器设置)。
3、运行系统过程中,删除所有cookie,继续运行系统(有可能会导致系统出现逻辑错误等)。
4、利用Cookie Editor工具修改系统cookie(修改前需关闭web,修改后重新提交访问)。
5、利用Cookie Editor工具查看关键数据是否加密(如密码)、过期时间是否设置合理以及是否正确设置了Http only和Secure(勾选)等。
详细测试方法请参考陈能技《.NET软件测试实战技术大全》。
……
查看全文请点击下载:http://www.51testing.com/html/02/n-227802.html
版权声明:51Testing软件测试网及相关内容提供者拥有51testing.com内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。