10个安全测试通用用例,助你走入安全大门~
发布时间:2023-01-10

这里总结的是一些通用安全测试用例,但安全测试远不如此,这些用例只能算入门!



 漏洞扫描 


定义:对系统的URL进行漏洞扫描,扫描系统开放的端口、服务和存在的漏洞。




 明文传输 


定义:对系统传输过程中的敏感内容是明文&密文进行检查。


系统传输敏感信息场景:登录、注册、支付、修改密码。


系统敏感信息:登录密码、支付金额、注册的手机号码、身份证、邮箱等信息。




 越权访问 


定义:测试能否通过URL地址获取管理员及其他用户信息。


1、出现admin、user、system、pwd等敏感目录的URL地址如:https://walmon-competition.gz.cvte.cn/competition_api/admin/v1/user/role_user_unit;


2、垂直越权场景:当系统存在多个不同权限的管理员时,低权限的管理员不能访问或操作到高权限的管理的资源;


3、水平越权场景:当系统存在多个需要登录用户,A用户不能访问B用户的资源。




 反射性跨站脚本 


定义:测试系统是否对输入进行过滤或转移,规避用户通过跨站脚本攻击造成风险。


跨站脚本攻击场景:搜索框、输入框、留言、上传文件。




 文件上传 


定义:测试能否上传木马、病毒、色情图片等恶意图片。




 越权文件下载 


定义:测试URL中是否包含文件名或文件目录,尝试提交参数值查看是否可下载或读取其他目录的文件内容。


文件下载场景:文件下载、文件读取功能。


测试url:包含文件名或文件目录的url。




 短信/邮箱验证 


定义:测试短信、邮箱验证方式是否进行安全设置。


触发短信、邮箱验证码验证相关的场景:找回或重置密码、注册、邀请注册、引流活动分享。




 鉴权缺失 


定义:测试需要登录、鉴权才可操作的系统中可修改资源的相关接口,鉴权是否可靠。


测试对象:可以修改资源的接口。




 密码健壮性 


定义:测试密码、验证码验证的方式是否可靠,是否可以被暴力猜测直至命中。




 数据安全 


定义:检查系统中敏感数据的存储是否安全。


敏感数据:密码、身份证、家庭住址、银行卡号、手机号、真实姓名。




更多软件测试相关推荐:

软件测试更多干货文章

软件测试就业培训


文章来源:网络  版权归原作者所有

上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8103),我们将立即处理

相关阅读
/