安全测试的思路

安全测试的思路
  作为国内做安全最好的公司肯定要问一些安全测试的题。我将我准备的安全测试的思路说了一些:
  (1)查看这个APP进程中,有没有存在debug 和info log.
  (2)清缓存后,登录不上,说明没有残存cookie.同一账号,记住密码,连续登陆几天,看会不会生效,cookie有时间限制;登陆失败后,不能记录密码的功能.
  (3)登录成功后生成的Cookie,是否是http only?,否则容易被脚本盗取,使用火狐的cookie Manager.
  (4)在地址栏直接输入各个功能页面的URL地址,看系统如何处理,是否能够直接链接查看(匿名查看),是否有权限控制,是否直接执行,并返回相应结果页
  (5)错误登陆的次数限制,防止暴力破解
  (6)用户名和密码是否通过加密的方式,发送给Web服务器.
  (7)什么都不输入,点击提交按钮,看提示信息。(非空检查)
posted @ 2019-02-24 10:37  veggiegfei  阅读(534)  评论(0编辑  收藏  举报