97久久综合亚洲色HEZYO,曰韩无码二三区中文字幕,免费超爽大片黄,国产女人爽的流水毛片

網(wǎng)站logo
×

首頁(yè) > 最新資訊 > 安全測(cè)試用例的模板

安全測(cè)試用例的模板

發(fā)布時(shí)間 2020-01-10


 

1,安全測(cè)試用例元素和排版如下:

 

 

2,手工安全測(cè)試功能點(diǎn)如下:

 

一、輸入驗(yàn)證:

1.輸入特殊字符,:~!@#$%^&*()_+<>:{}|

2.輸入中英文空格,輸入字符串中間含空格,輸入首尾空格

3.輸入特殊字符串NULL,null,0x0d 0x0a

4. 參考附錄中的常用輸出語(yǔ)句,SQL注入,XSS。

 

二、上傳:

1.上傳文件是否有格式限制,是否可以上傳exe文件;

2.上傳文件是否有大小限制,上傳太大的文件是否導(dǎo)致異常錯(cuò)誤,上傳0K的文件是否會(huì)導(dǎo)致異常錯(cuò)誤,上傳并不存在的文件是否會(huì)導(dǎo)致異常錯(cuò)誤;

3.通過(guò)修改擴(kuò)展名的方式是否可以繞過(guò)格式限制,是否可以通過(guò)壓包方式繞過(guò)格式限制;

4.是否有上傳空間的限制,是否可以超過(guò)空間所限制的大小,如將超過(guò)空間的大文件拆分上傳是否會(huì)出現(xiàn)異常錯(cuò)誤。

5.上傳文件大小大于本地剩余空間大小,是否會(huì)出現(xiàn)異常錯(cuò)誤。

6.關(guān)于上傳是否成功的判斷。上傳過(guò)程中,中斷。程序是否判斷上傳是否成功。

7.對(duì)于文件名中帶有中文字符,特殊字符等的文件上傳。

 

三、下載:

1. 敏感文件路徑:http://url/download.jsp?file=/etc/password.

 

四、URL

1.某些需登錄后或特殊用戶(hù)才能進(jìn)入的頁(yè)面,是否可以通過(guò)直接輸入網(wǎng)址的方式進(jìn)入;(權(quán)限校驗(yàn)相關(guān)用例,在功能用例里面詳細(xì)展開(kāi)

2.對(duì)于帶參數(shù)的網(wǎng)址,惡意修改其參數(shù),(若為數(shù)字,則輸入字母,或很大的數(shù)字,或輸入特殊字符等)后打開(kāi)網(wǎng)址是否出錯(cuò),是否可以非法進(jìn)入某些頁(yè)面;

3.搜索頁(yè)面等url中含有關(guān)鍵字的,輸入html代碼或JavaScript看是否在頁(yè)面中顯示或執(zhí)行。(參考附錄中的常用輸出語(yǔ)句,SQL注入,XSS)

4. 避免跨站請(qǐng)求偽造CSRF。同個(gè)瀏覽器打開(kāi)兩個(gè)tab頁(yè)面,一個(gè)tab頁(yè)面session失效后,另一個(gè)頁(yè)面是否可操作成功。

 

五、Cookie

 

1. 篡改cookie,查找是否有業(yè)務(wù)邏輯依賴(lài)cookie存儲(chǔ)值而進(jìn)行,如果有,則修改cookie的值,看是否導(dǎo)致功能不正?;驑I(yè)務(wù)邏輯錯(cuò)亂。

2. cookie加密測(cè)試,查看存儲(chǔ)的cookie文件內(nèi)容,看是否有用戶(hù)名、密碼等敏感信息存儲(chǔ),并且未被加密處理。

3. cookie內(nèi)容安全檢查(cookie過(guò)期日期設(shè)置的合理性,httponly屬性的設(shè)置(ture),secure屬性的設(shè)置(ture))。

 

 

 

附錄:

 

1. xss

<input type="text"/>

<input/>

<input/  

<script>alert('hello');</script>

1.jpg" onmouseover="alert('xss')

"></a><script>alert(xss);</script>

http://xxx';alert('xss');var/ a='a

‘”>xss&<

a=”\ ; b=;alert(/xss/);//

<img src=輸出內(nèi)容border=0alt=logo/>

“’”

‘”’

“””

“ “ “

“”“

“‘ ”

title=””

對(duì)輸出數(shù)據(jù)到輸出數(shù)據(jù)的對(duì)比,看是否出現(xiàn)問(wèn)題。

 

 

2. 防止SQL注入

Admin--

or --

  and  ( )  exec  insert  *  %  chr  mid   

and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) ;

char(49)char(61)char(49)  ;  

%20AND%201=2;

and 1=1    ;  And  1=1   ;   ‘a(chǎn)Nd   1=1   ;

and 1=2    ;   and 1=2

and 2=2

and user>0

and (select count(*) from sysobjects)>0

and (select count(*) from msysobjects)>0

and (Select Count(*) from Admin)>=0

and 0<>(select count(*) from admin)

 

http://searchbox.mapbar.com/publish/template/template1010/?CID=qingke&tid=tid1010&cityName=tianjing<script>alert(1);</script>&nid=MAPBXITBJRQMYWJRXPCBX