验证码测试点

验证码是保障系统安全的一道屏障,常见的验证码有图片、手机短信等多种形式。 系统使用类似卡号、学号可以规则生成的userID,或者可以被收集的邮箱账号,验证码被绕过后,就可以使用弱密码逐个撞账号。 客户端 客户端生成验证码只在客户端验证,模拟post请求即可直接绕过验证。 验证码输出到客户端,例如验证码输出在cookie、html、js中,检查字段属性、图片名等排查 服务端: 1.验证码不过期,没有

Continue reading »

网页上传文件功能测试点

群里讨论网页上传文件功能测试点,记录并总结了以下条目: 1.上传文件是否有格式限制,是否可以上传可执行文件,如exe; 2.上传文件是否有大小限制,上传太大的文件是否导致异常错误,上传0K的文件是否会导致异常错误,上传并不存在的文件是否会导致异常错误; 3.通过修改扩展名的方式是否可以绕过格式限制,是否可以通过压包方式绕过格式限制; 4.是否有上传空间的限制,是否可以超过空间所限制的大小,如将超过

Continue reading »