安全測(cè)試常用功能點(diǎn)

1. 不登錄系統(tǒng)，直接輸入登錄后的頁(yè)面的URL是否可以訪問(wèn)；

2. 不登錄系統(tǒng)，直接輸入下載文件的URL是否可以下載文件；如輸入：http://url/download?name=file是否可以下載文件file

3. 退出登錄后，后退按鈕能否訪問(wèn)之前的頁(yè)面；

4.ID/密碼驗(yàn)證方式中能否使用簡(jiǎn)單密碼；如密碼標(biāo)準(zhǔn)為6位以上，字母和數(shù)字的組合，不包含ID，連接的字母或數(shù)字不能超過(guò)n位

5.ID/密碼驗(yàn)證方式中，同一個(gè)帳號(hào)在不同的機(jī)器上不同時(shí)登錄

6.ID/密碼驗(yàn)證方式中，連續(xù)數(shù)次輸入錯(cuò)誤密碼后該帳戶(hù)是否被鎖定

7.重要信息（如密碼，×××，信用卡號(hào)等）在輸入或者查詢(xún)時(shí)是否明文顯示；在瀏覽器地址欄中輸入命令JavaScript:alert(doucument.cookie)時(shí)是否有重要信息；在html源碼中能否看到重要信息；

8.手動(dòng)更改URL中的參數(shù)值能否訪問(wèn)沒(méi)有權(quán)限訪問(wèn)的頁(yè)面。如普通用戶(hù)對(duì)應(yīng)的URL中的參數(shù)為l＝e，高級(jí)用戶(hù)對(duì)應(yīng)的URL中的參數(shù)為l＝s，以普通用戶(hù)的身份登錄系統(tǒng)后將URL中的參數(shù)e改為s來(lái)訪問(wèn)沒(méi)有權(quán)限訪問(wèn)的頁(yè)面

9.URL里不可修改的參數(shù)是否可以被修改；

10.上傳與服務(wù)器端語(yǔ)言（jsp，asp，PHP）一樣擴(kuò)展名的文件或exe等可執(zhí)行文件后，確認(rèn)在服務(wù)器端是否可直接運(yùn)行

11.注冊(cè)用戶(hù)時(shí)是否可以以‘--’or1＝1—等做為用戶(hù)名

12.傳送給服務(wù)器的參數(shù)（如查詢(xún)關(guān)鍵字，URL中的參數(shù)等）中包含特殊字符（‘.’and1＝1--.‘a(chǎn)nd1＝0--.’.‘or 1＝0--）時(shí)是否可以正常處理

13.執(zhí)行新增操作時(shí)，在所有的輸入框中輸入腳本標(biāo)簽（<script>alert(“”)</script>）后能否保存；

14.新增或修改重要信息（密碼，×××號(hào)碼，信用卡號(hào)等）時(shí)是否有自動(dòng)完成功能（在form標(biāo)簽中使用autocomplete＝0來(lái)關(guān)閉自動(dòng)完成功能）

15.在URL中輸入下面的地址是否可以下載http://url/download.jsp?file=c:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/password

16.是否對(duì)session的有效期進(jìn)行處理

17.錯(cuò)誤信息中是否含有SQL語(yǔ)句，SQL錯(cuò)誤信息以及web服務(wù)器的絕對(duì)路徑的等