web安全测试-用户权限实战
2019-10-21 本文已影响0人
nayli
1、用户权限测试
| 编号 | 测试项 | 预期结果 | 实测结果 | 备注 |
|---|---|---|---|---|
| 1 | 系统是否有设置验证码登录 | 有设置,设置数字及英文组合验证、且有复杂图案背景 | 通过 | |
| 2 | 不输入验证码是否可以访问 | 不可以访问 | 通过 | |
| 3 | 输入错误用户名,错误提示是否包含敏感提示 | 提示“用户名或密码错误”或其他不含指定性内容的错误提示 | 通过 | |
| 4 | 输入错误密码,错误提示是否包含敏感提示 | 提示“用户名或密码错误”或其他不含指定性内容的错误提示 | 通过 | |
| 5 | 多次输入错误密码,系统是否锁定账户 | 账户被锁定 | 通过 | |
| 6 | 同一账号,是否允许在同一浏览器两个页面同时登录 | 不允许同时登录 | 通过 | |
| 7 | 同一账号,是否允许在不同浏览器同时登录 | 不允许同时登录 | 通过 | |
| 8 | 同一账号,是否允许在不同设备上同时登录 | 不允许同时登录 | 通过 | |
| 9 | 输入账号、密码、验证码,点击登录,URL是否明文显示关键信息(密码) | 不能明文显示 | 通过 | |
| 10 | 重要信息(如身份证、信用卡号、或其他敏感信息)输入或查询是否明文显示 | 不能明文显示 | 通过 | |
| 11 | 输入或查询时,在浏览器地址中输入javascript:alert(document.cookie),是否显示重要信息,且html源码中是否显示重要信息 | 不能显示重要信息 | 通过 | |
| 12 | 不登录系统,直接输入登录后的页面URL是否可以访问 | 不可以访问 | 通过 | 谷歌、搜狗浏览器均不可以访问 |
| 13 | 不登录系统,直接输入下载文件的URL是否可以直接下载文件 | 不可以下载 | 通过 | |
| 14 | 退出登录后,使用浏览器后退功能,是否可以退回之前访问的页面 | 不可以访问 | 通过 |
