认真能把事做对,用心才能把事做好,专心、专注、心注未来。 声明:本博客内容除特别注明转载外全部是个人工作总结,转载时请注明出处!

登录页面-安全性测试

上一篇 / 下一篇  2013-03-07 16:34:20 / 个人分类:原创

最近经常有人问,登录功能怎样做安全测试,要关注哪些方面.闲来无事,根据自己以往做过的项目,现总结如下:
1、登录时对用户名、密码、验证码的合法性验证
2、连续登录失败后的处理策略(比如:连续失败3次,锁定账号一段时间
3、用户名的规则
4、密码策略(比如:长度限制、字符限制、不能与账号相同等)
5、密码输入框不允许粘贴复制
6、用户登录密码是否是可见
7、是否有密码过期策略
8、密码是否采取符合要求的加密算法
9、密码不能明文传输
10、日志中是否记录明文密码
11、数据库中不能记录明文密码
12、验证码的失效时间验证
13、用户退出系统后是否删除了所有鉴权标记
14、是否可以使用后退键而不通过输入口令进入系统
15、检查是否有页面可以绕过登录页面进行访问
16、页面超时机制的验证
17、cookie中是否保存用户名密码,如果保存要加密
18、验证是否存在注入式sql攻击漏洞
19、对于安全性高的系统,最好使用https
 

TAG: 安全 安全性测试 登录

442343252的个人空间 引用 删除 442343252   /   2013-07-22 17:19:08
个人觉得文章可以,本人有点愚拙哈.....如果能够给出具体的测试方法就好了,谢谢楼主分享
 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

Open Toolbar