如何测试登录界面的安全测试

最主要的是做好用户名和密码本身的工作。

1.数据校验，如最大长度、最小长度校验、特殊字符校验等。

2.然后是是否有验证码，如果出现多个密码错误并且功能被锁定，则不需要验证码。

3.或密码不正确的错误消息。 如果出现“用户名不存在”、“错误”、“密码错误”等情况，则为漏洞，建议用户名或密码不正确

4.**具有很高的安全要求** https SSL5然后是密码的复杂性，密码的生命周期，密码不能相同，等等。

某些安全测试基于要求，应用程序可能不需要那么高的安全要求。

总结了 8 个方面，这些方面很重要：

1.正确的用户名和密码，包括合法字符和法定长度。

2.不正确的用户名，包括包含无效字符的用户名、过长或过短正确的用户名和错误的密码，包括非法字符，太长或太短。

4.用户名和密码均为空。

5.使用空白密码更正用户名。

6.任何用户名和密码，包括正确或不正确，也可以为空7检查UI友好性。

检查登录界面设计是否合理，是否符合UI规范。

界面习惯美观，按钮对齐，输入框对齐，无错别字，字体大小协调，文字描述准确。

8.检查安全性（SQL注入等）。

用户认证安全测试要考虑的问题：

1.明确区分系统中不同的用户权限。

2.系统中不会有用户冲突。

3.系统会不会因为用户权限的变更而感到困惑？

4.用户登录密码是否可见且可重现。

5.是否可以通过绝对方式登录系统（用户登录后复制链接直接进入系统）。

6.用户弹出系统后是否删除了所有认证令牌，用户是否可以使用back密钥代替输入密码进入系统。

系统网络安全的测试需要考虑这个问题。

1.测试所采取的保护措施是否正确组装，系统是否已修补。

2.模拟未经授权的攻击，以查看保护系统是否可靠。

3.使用复杂的网络漏洞检查工具来检查与系统相关的漏洞（即，尝试使用最复杂的黑客工具，现在最常用的是NBSI系列和IPHacker IP）。

4.使用各种特洛伊木马检查工具检查系统特洛伊木马情况。

5.使用各种反插件工具，检查系统中每组程序的客户插件漏洞。

数据库安全注意事项：

1.系统数据是否保密（例如，对于银行系统来说，这一点尤为重要，一般**要求不高）。

2.系统数据的完整性（我刚刚结束的企业实名认证服务系统中存在数据不完整，阻碍了本系统的功能实现）。

3.系统数据可管理性。

4.系统数据的独立性。

5.系统数据备份和恢复能力（数据备份是否完成，是否可以恢复，以及恢复是否能完成）。

这是我在一家大公司申请测试工程师时碰巧被问到的一个问题。

我当时的回答是：首先，你需要了解用户的需求，比如登录屏幕应该是弹出的还是直接在网页内。 用户名的长度和密码的强度（即必须有多少位数字，大小写和大小写必须混合）等。

例如，用户对界面的美观性有特殊要求吗？ （即是否要进行 UI 测试）。 剩下的就是设计用例、等价类、边界值等。

请记住，任何测试，无论它是什么，都从了解要求开始。

希望它有所帮助。

用户名和密码可以接受什么样的字符，字符有多长，空的，非法的字符，Tab键的跳转，回车键操作的默认焦点按钮是否有效，文本字段是否足够长，窗口大小变化是否会影响空间布局，分辨率变化是否会影响显示， 有这么多要考虑的，希望对你有帮助。登录后还有回退功能，是否影响登录。

按钮控件是否实现功能，输入框中的值是否满足输入要求，以及输入值的边界检查等。

还有权限或不正确，数据连接异常等。

一般来说，一个Web应用包括Web服务器运行的操作系统、Web服务器、Web应用逻辑、数据库，其中任何一个部分的任何一个安全漏洞都会导致整个系统出现安全问题。

对于操作系统，最关键的操作系统漏洞、Windows 上的 RPC 漏洞、缓冲区溢出漏洞、安全机制漏洞等;

对于 Web 服务器来说，Web 服务器已经从早期只提供对静态 HTML 和 ** 的访问发展到支持动态请求，这早已是一个非常庞大的系统。

对于应用逻辑来说，取决于其实现的语言、不同的机制、编码和框架本身的漏洞，或者业务设计的不完善，都可能导致安全问题。

Web 安全测试是一个很大的话题，它首先取决于它的安全性。 不要指望 100% 安全，要知道即使是美国国防部也无法保证 100% 安全。 对于一般使用企业要达到**，满足这样的期望是合理的：

1、能够防密码测试工具;

2、能够防范Cookie攻击等常见攻击方式;

3、保证敏感数据不以明文形式传输;

4.可以防止重要信息猜测文件名和查看html文件的内容;

5、可保证收到刀具后在给定时间内恢复，重要数据丢失不超过1小时;

总结了 8 个方面，这些方面很重要：

1.正确的用户名和密码，包括 2不正确的用户名，包括包含无效字符的用户名、过长或过短

正确的用户名和错误的密码，包括非法字符、过长或过短4用户名和密码均为空。

5.使用空白密码更正用户名。

6.任何用户名和密码，包括正确或不正确，也可以为空7检查UI友好性。

检查登录界面设计是否合理，是否符合UI规范，界面是否规范美观，按钮是否对齐，输入框是否对齐，有无错别字，字体大小是否协调，文字描述是否准确。

8.检查安全性（SQL注入等）。

从几个方面考虑功能安全接口的压力。

功能：如何处理用户名和密码的长度。

用户名的键入规则 密码的键入规则。

是否记住密码功能。

用户名和密码是否为空如何提示。

用户名和密码进入空格如何处理。

安全性：密码是否为密文。

如果用户名和密码输入错误，则光标是否停留在错误上是不确定的。

密码是否可复制。

跳转协议是否无参数。

界面：用户名和密码输入框的长度和高度是否符合要求，是弹框登录还是直接页面登录。

压力：如果一直输入用户名和密码，点击登录，系统会崩溃吗？

总结了 8 个方面，这些方面很重要：

1.正确的用户名和密码，包括 2不正确的用户名，包括包含无效字符的用户名、过长或过短

正确的用户名和错误的密码，包括非法字符、过长或过短4用户名和密码均为空。

5.使用空白密码更正用户名。

6.任何用户名和密码，包括正确或不正确，也可以为空7检查UI友好性。

检查登录界面设计是否合理，是否符合UI规范，界面是否规范美观，按钮是否对齐，输入框是否对齐，有无错别字，字体大小是否协调，文字描述是否准确。

8.检查安全性（SQL注入等）。

所谓SQL注入，就是在Web表单中插入SQL命令，提交或输入域名或页面请求的查询字符串，最后欺骗服务器执行恶意SQL命令。 具体来说，就是使用现有的应该。