web安全测试用例

测试内容测试项预期结果不登录系统，直接输入登录后的页面的URL是否可以访问不可以访问不登录系统，直接输入下载文件的URL是否可以下载文件；（如输入：=file是否可以下载文件file）不可以下载退出登录后，点击浏览器后退按钮能否访问之前的页面不能访问ID/密码验证方式中能否使用简单密码；（如密码标准为6位以上，字母和数字的组合，不包含ID，连接的字母或数字不能超过n位）不能ID/密码验证方式中，同一个帐号在不同的机器上同时登录不允许同时登陆ID/密码验证方式中，连续数次输入错误密码后该帐户是否被锁定应该被锁定重要信息（如密码，身份证，信用卡号等）在输入或者查询时是否明文显示；在浏览器地址栏中输入命令javascript:alert(doucument.cookie)时是否有重要信息；在html源码中能否看到重要信息；不能明文显示；不能看到重要信息检查URL中的参数信息是否正确（如URL中的订单号，金额信息如果显示出来的话是否正确）参数信息都显示正确检查一些重要参数信息，不应该显示出来（如用户名和密码都不应该显示出来）不该在URL中显示重要信息手动更改URL中的参数值能否访问没有权限访问的页面。（如普通用户对应的URL中的参数为l＝e，高级用户对应的URL中的参数为l＝s，以普通用户的身份登录系统后将URL中的参数e改为s来访问没有权限访问的页面）不可以访问手动更改URL中的数据看程序能否识别（如修改URL中的金额参数等信息看能否成功提交或是否会报错）不允许修改、报错上传与服务器端语言（jsp，asp，php）一样扩展名的文件或exe等可执行文件后，确认在服务器端是否可直接运行不能上传注册用户时是否可以以‘--’or1＝1—等做为用户名传送给服务器的参数（如查询关键字，URL中的参数等）中包含特殊字符（‘.’and1＝1--.‘and1＝0--.’.‘or1＝0--）时是否可以正常处理URL中参数修改进行XSS注入不允许执行URL中参数修改进行SQL注入不允许执行表单中进行XSS注入，执行新增操作时，在所有的输入框中输入脚本标签（scriptalert(“”)/script）后能否保存；不允许执行表单中注入SQL语句，看是否会出错不允许执行新增或修改重要信息（密码，身份证号码，信用卡号等）时是否有自动完成功能（在form标签中使用autocomplete＝0来关闭自动完成功能）不允许自动完成在URL中输入下面的地址是否可以下载=c:\windows\system32\drivers\etc\hosts,=/etc/password不允许修改多tab浏览器下，两个tab页中都保留的是用户A的session记录，此时其中一个页A退出，用户B登陆；然后在另一个A的界面执行操作，看能否成功有权限控制的不可以操作，应该报错；无权限控制的，B操作了A的页面后应该是B的记录而不是A的记录打开一个页面10分钟session有效时间到了，进行操作查看效果不能操作，进入登陆界面URL安全测试表单提交安全测试Session测试用户权限测试多tab浏览器下，两个tab页中都保留的是用户A的session记录，然后在其中一个页A退出，然后马上在另一个页面进行操作，查看是进入下一步还是到登陆界面应该是到登陆界面屏蔽/阻止所有cookie，然后运行web系统上的主要功能，很多时候会出现不能运行的情况。如果用户必须激活Cookie才能运行web系统，则查看web服务器是否能正确识别客户端Cookie的设置情况，当用户屏蔽了cookie,服务器应该给出一个提示有选择性的选择cookie,设置cookie选项为弹出提示，然后运行web系统上的主要功能，在弹出的cookie提示中允许某些cookie,拒绝某些cookie，查看web系统的工作情况，查看web服务器能否检测出某些cookie被拒绝，并给出正确的提示能检测出被拒绝的cookie,并给出正确的提示篡改cookie,查找是否有业务逻辑依赖cookie存储值而进行，如果有，则修改cookie的值，看是否导致功能不正常或业务逻cookie加密测试，查看存储的cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未被加密处理；可以手工打开文件查看，也可用cookie工具（cookieeditor）查看cookie内容安全检查(cookie过期日期设置的合理性，httponly属性的设置(ture)，secure属性的设置(ture))Session测试Cookie安全测试实际结果