一、大类检查点:
|
大类 |
细项 |
|
上传功能 |
绕过文件上传检查功能 |
|
上传文件大小和次数限制 |
|
|
注册功能 |
注册请求是否安全传输 |
|
注册时密码复杂度是否后台检验 |
|
|
激活链接测试 |
|
|
重复注册 |
|
|
批量注册问题 |
|
|
登录功能 |
登录请求是否安全传输 |
|
会话固定 |
|
|
关键Cookie是否HttpOnly |
|
|
登录请求错误次数限制 |
|
|
“记住我”功能 |
|
|
本地存储敏感信息 |
|
|
验证码功能 |
验证码的一次性 |
|
验证码绕过 |
|
|
短信验证码轰炸 |
|
|
忘记密码功能 |
通过手机号找回 |
|
通过邮箱找回 |
|
|
密码安全性要求 |
密码复杂度要求 |
|
密码保存要求 |
|
|
横向越权测试 |
请测试所有接口越权情况 |
|
纵向越权测试 |
请测试所有接口越权情况 |
|
XSS测试 |
反射型XSS |
|
存储型XSS |
|
|
DOM型XSS |
|
|
SQL注入测试 |
SQL注入测试 |
|
写接口限制测试 |
写接口限制测试 |
|
CSRF测试 |
CSRF测试 |
|
敏感信息泄露 |
SVN信息泄露 |
|
页面泄露敏感信息 |
|
|
目录遍历 |
目录遍历 |
|
CRLF测试 |
CRLF测试 |
|
任意文件读取 |
任意文件读取 |
|
URL重定向测试 |
URL重定向测试 |
|
点击劫持ClickJacking |
页面点击劫持 |
|
XXE |
XXE测试 |
|
SSRF |
SSRF |
|
CORS问题 |
CORS问题 |