行业资讯
📅 2026/7/16 16:20:18
入门安全测试必须要知道的10个通用用例
今天这里总结的是一些通用安全测试用例但安全测试远不如此这些用例只能算入门必备1漏洞扫描定义对系统的URL进行漏洞扫描扫描系统开放的端口、服务和存在的漏洞2明文传输定义对系统传输过程中的敏感内容是明文密文进行检查系统传输敏感信息场景登录、注册、支付、修改密码系统敏感信息登录密码、支付金额、注册的手机号码、身份证、邮箱等信息3越权访问定义测试能否通过URL地址获取管理员及其他用户信息1)出现admin、user、system、pwd等敏感目录的URL地址2)垂直越权场景当系统存在多个不同权限的管理员时低权限的管理员不能访问或操作到高权限的管理的资源3)水平越权场景当系统存在多个需要登录用户A用户不能访问B用户的资源4反射性跨站脚本定义测试系统是否对输入进行过滤或转移规避用户通过跨站脚本攻击造成风险跨站脚本攻击场景搜索框、输入框、留言、上传文件5越权文件下载定义测试URL中是否包含文件名或文件目录尝试提交参数值查看是否可下载或读取其他目录的文件内容文件下载场景文件下载、文件读取功能测试url包含文件名或文件目录的url6文件上传定义测试能否上传木马、病毒、色情图片等恶意图片7短信、邮箱验证定义测试短信、邮箱验证方式是否进行安全设置触发短信、邮箱验证码验证相关的场景找回或重置密码、注册、邀请注册、引流活动分享8鉴权缺失定义测试需要登录、鉴权才可操作的系统中可修改资源的相关接口鉴权是否可靠测试对象可以修改资源的接口9密码健壮性定义测试密码、验证码验证的方式是否可靠是否可以被暴力猜测直至命中10数据安全定义检查系统中敏感数据的存储是否安全敏感数据密码、身份证、家庭住址、银行卡号、手机号、真实姓名