概述
( (一) 明文传输用户名/密码/验证码等敏感信息
问题:用户登录过程中,在与服务器端交互时明文传输用户名、密码或者验证码等,可导致用户敏感信息泄露。
(二)使用Nmap工具进行端口扫描,确定开放的端口为业务需要
(三)对同一用户的错误登陆次数做限制,防止账号密码被暴力破解
(四)代码混淆,避免其他人反编译源代码并修改打包
(五)web表单的设计缺陷,防止sql注入
(六)会话更新,主要查看登陆成功之后是否更新会话标识
(七)网页验证码一次性有效,程序中验证码都是同一个,只要不刷新页面(只要不发送获取验证码的请求getCaptchaImage),验证码就可以反复使用。这是验证码被绕过的典型案例,验证码验证通过后,需要失效操作。
(八)密码等敏感信息保存在数据库中需要加密,不能明文保存,防止窃取密码,加盐后MD5保存
(九)xss漏洞
例:http://***=1"><sCrIpT>alert(41651)</sCrIpT>
(十)csrf漏洞
博客地址:WEB安全测试要点总结_mathlpz666的博客-CSDN博客_web安全测试方法
最后
以上就是虚幻月饼为你收集整理的安全测试(BurpSuite)常见检查点的全部内容,希望文章能够帮你解决安全测试(BurpSuite)常见检查点所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复