1.一篇不错的关于安全测试的介绍:http://www.51testing.com/html/91/n-3719891.html
我们做非安全测试时,充当的角色是:合法用户
我们做安全测试时,充当的角色是:恶意用户
举个小例子:非安全测试与安全测试的思维方式不一致。当我们在测试登录时,输入错误的用户名,浏览器提示“该用户不存在”;输入正确的用户名与错误的密码时,浏览器提示“密码错误”,这种清晰的提示对于我们测试人员来说是觉得非常满意的,因为用户体验好,可以在我输错的时候比较快捷的定位到出错点。但对于安全测试来说,这个信息为不怀好意的系统使用者提供了便利。
2.安全测试的方法:http://www.51testing.com/html/92/n-3719692.html
1)、会话超时测试(登录之后,不操作30分钟,30分钟后再来操作此页面,查看是否需要重新登录,如果不操作30分钟后还能进行其它业务操作,则存在安全漏洞:需要在后台进行配置Session的超时时间)
2)、会话清除测试(用户注销之后会话信息需要清除,否则会导致用户在点击注销按钮之后还能继续访问注销前才能访问的页面:在用户注销后,必须将用户的Session信息以及缓存信息全部清空)