通用测试：08.安全类测试

参考测试点：

1. 访问控制类
   垂直权限：限定访问资源用户的级别
   eg：使用一个没有当前操作权限的用户帐号登录，尝试进行操作，如果能够进行操作，证明存在Access Control漏洞。
   水平权限：限定了访问资源的用户身份
   eg：有AB两用户，B用户没有A用户某一级菜单下底层某菜单的查看权限。使用A用户登录，打开菜单后退出，再使用B用户登录，点击A用户打开的一级菜单，B用户无权限查看的菜单应当显示为灰色。否则具有Access Control漏洞。
2. URL跳转类
   避免模拟post请求等域名跳转类的安全漏洞
   eg：登录链接：http://china.qq.com/member/signin.htm?Done=http://china.qq.com/?tracelog=main_toolbar_signin
   将Done=http://china.qq.com改成Done=http://www.fish-site.com，如果从这个链接登录进入网站的客户会自动跳转到钓鱼网站，证明了此处存在URL跳转漏洞。
3. 上传下载类
   文件上传：上传安全部门提供的图片（见附件）上传，成功后下载图片，使用UltraEdit或者NotePad++打开图片，查看下载的图片。预期结果：下载的图片不存在< script. >字样，否则存在漏洞。
   文件下载：在文件下载的地方，使用firefox+tamper（或者IE+IEWatch）查看提供的链接。预期结果：链接没有绝对路径，均是相对路径，否则存在漏洞。
4. 存储型XSS
   在页面有输入的地方，输入脚本，例如:< script. >alert(1)< / script. > ，查看后台对应的输出页面。预期结果：脚本不被执行，否则存在漏洞。
5. CSRF和数据正确性
   在关键性操作的地方，包括但不限于：修改用户的邮箱、手机、密码；进行交易的确认、划款，使用 firefox+tamper，修改提交表单中的csrf内容。预期结果：提交失败，否则存在漏洞。
6. 并发类
   验证并发操作不产生脏数据，影响业务功能。
   双开页面模拟并发操作（不是很严格意义，可以避免很搓的未做并发控制的问题，对于事务较长的也可以模拟成完全并发）
   开发设断点，工具jemter模拟并发操作（可以模拟严格意义的并发）