上传: 编号 Web_FileSys_01 用例名称 上传功能测试 用例描述 测试上传...
分类:
Web程序 时间:
2015-01-08 09:25:01
阅读次数:
194
Domain解释一下同源策略同源策略,那些东西是同源可以获取到的如果子域名和顶级域名不同源,在哪里可以设置叫他们同源如何设置可以跨域请求数据?jsonp是做什么的?AjaxAjax是否遵循同源策略?json注入如何利用浏览器策略不同浏览器之间,安全策略有哪些不同,比如chrome,firefox,I...
分类:
Web程序 时间:
2015-01-07 12:40:01
阅读次数:
338
5.4.1、源代码和注释: 编号 Web_InfoLeak_01 用例名称 源代码和注释检查测试 ...
分类:
Web程序 时间:
2015-01-07 09:16:21
阅读次数:
110
1、数据验证 4.1、输入数据验证安全规则 1 数据验证必须放在服务器端进行。 2 至少对输入数据的数据类型、数据范围和数据长度进行验证。 ...
分类:
Web程序 时间:
2015-01-07 09:16:14
阅读次数:
291
会话复杂度:编号Web_ Sess_01用例名称会话复杂度测试用例描述测试目标系统产生的session id是否具备足够的复杂度。严重级别高前置条件1、 目标系统使用登录会话机制。2、 目标web应用可访问,业务正常运行。3、 已安装http拦截代理(burp、fiddler或webscarab均可...
分类:
Web程序 时间:
2015-01-06 09:48:37
阅读次数:
162
1、会话管理3.1、会话管理安全规则1避免在URL携带session id。2使用SSL加密通道来传输cookie。3避免在错误信息和调试日志中记录session id。4使用框架自带的或业界公认的安全函数来生成session id(参考附录11.4)。5开发或引入无状态的模块(比如shipin7 ...
分类:
Web程序 时间:
2015-01-06 09:47:28
阅读次数:
226
垂直权限提升: 编号 Web_Author_01 用例名称 垂直权限提升测试 用例描述 ...
分类:
Web程序 时间:
2015-01-05 14:27:47
阅读次数:
267
认证: 5.1.1、敏感数据传输: 编号 Web_Authen_01_01 用例名称 敏感数据传输保密性测试 用例...
分类:
Web程序 时间:
2015-01-04 21:09:18
阅读次数:
359
2.1 访问控制安全规则 1 访问控制必须只能在服务器端执行。 2 只通过session来判定用户的真实身份,避免使用其它数据域的参数(比如来自cooki...
分类:
Web程序 时间:
2015-01-04 09:47:28
阅读次数:
169
1、认证 1.1、 认证和密码管理安全规则 1 认证控制必须只能在服务器端执行。 2 除了指定为公开的资源,对所有其它资源的访问都必须先经过认证。 ...
分类:
Web程序 时间:
2014-12-31 19:57:35
阅读次数:
208
