标签：web 顺序 查看 登录 密码 测试 授权 页面

 web安全测试，测试思路顺序：

1. 认证与授权： 先看登录功能、验证码功能、修改密码、重置密码、找回密码
2. 权限：

• 避免未经授权的页面可以直接访问（看每个页面有没有带session，不登录的前提下直接访问每个页面）、横向越权、纵向越权、
• 查看角色模块，直接看不同角色的用户的不同授权情况，直接用没有授权的用户去操作模块或功能。

3.登录后，查看session内容，是否包含了敏感信息 4.登录后，查看请求头中的cookie内容，是否包含了敏感信息，例如用户名和密码，以及作用域是否合适？例如：path/ 5.查看首页，捕获请求，修改请求头中的host地址，如果响应了，说明有漏洞，如下图，被成功重定向302了。叫‘host头攻击’。

标签：web,顺序,查看,登录,密码,测试,授权,页面
来源： https://www.cnblogs.com/xin2020/p/15625133.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。