10个安全测试通用用例,助你走入安全大门~ | 当前位置: 首页> 学习中心> 测试知识> 详情 |
这里总结的是一些通用安全测试用例,但安全测试远不如此,这些用例只能算入门!
漏洞扫描
定义:对系统的URL进行漏洞扫描,扫描系统开放的端口、服务和存在的漏洞。
明文传输
定义:对系统传输过程中的敏感内容是明文&密文进行检查。
系统传输敏感信息场景:登录、注册、支付、修改密码。
系统敏感信息:登录密码、支付金额、注册的手机号码、身份证、邮箱等信息。
越权访问
定义:测试能否通过URL地址获取管理员及其他用户信息。
1、出现admin、user、system、pwd等敏感目录的URL地址如:https://walmon-competition.gz.cvte.cn/competition_api/admin/v1/user/role_user_unit;
2、垂直越权场景:当系统存在多个不同权限的管理员时,低权限的管理员不能访问或操作到高权限的管理的资源;
3、水平越权场景:当系统存在多个需要登录用户,A用户不能访问B用户的资源。
反射性跨站脚本
定义:测试系统是否对输入进行过滤或转移,规避用户通过跨站脚本攻击造成风险。
跨站脚本攻击场景:搜索框、输入框、留言、上传文件。
文件上传
定义:测试能否上传木马、病毒、色情图片等恶意图片。
越权文件下载
定义:测试URL中是否包含文件名或文件目录,尝试提交参数值查看是否可下载或读取其他目录的文件内容。
文件下载场景:文件下载、文件读取功能。
测试url:包含文件名或文件目录的url。
短信/邮箱验证
定义:测试短信、邮箱验证方式是否进行安全设置。
触发短信、邮箱验证码验证相关的场景:找回或重置密码、注册、邀请注册、引流活动分享。
鉴权缺失
定义:测试需要登录、鉴权才可操作的系统中可修改资源的相关接口,鉴权是否可靠。
测试对象:可以修改资源的接口。
密码健壮性
定义:测试密码、验证码验证的方式是否可靠,是否可以被暴力猜测直至命中。
数据安全
定义:检查系统中敏感数据的存储是否安全。
敏感数据:密码、身份证、家庭住址、银行卡号、手机号、真实姓名。
更多软件测试相关推荐:
文章来源:网络 版权归原作者所有
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8103),我们将立即处理