多线程如何避免死锁 web安全性测试用例(7)

2）必须经过A——B——C的页面，是否能够直接由A——C?

(3) ...

4. Cookie安全

(1) 屏蔽或删除所有Cookie

(2) 有选择性地屏蔽Cookie

(3) 篡改Cookie

(4) Cookie加密测试

(5) Cookie安全内容检查

1) Cookie过期日期设置的合理性：检查是否把Cookie的过期日期设置得过长。

2) HttpOnly属性的设置：把Cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁，防止Cookie被窃取。?

3) Secure属性的设置：把Cookie的Secure属性设置为True，在传输Cookie时使用SSL连接，能保护数据在传输过程中不被篡改。 对于这些设置，可以利用Cookie?Editor来查看是否正确地被设置。

(6) ...

5. Session安全

(1) Session是客户端与服务器端建立的会话，总是放在服务器上的，服务器会为每次会话建立一个sessionId，每个客户会跟一个sessionID 对应。 并不是关闭浏览器就结束了本次会话，通常是用户执行“退出”操作或者会话超时时才会结束。多线程如何避免死锁

(2) 测试关注点：

1) Session互窜

Session互窜即是用户A的操作被用户B执行了。 验证Session互窜，其原理还是基于权限控制，如某笔订单只能是A进行操作，或者只能是A才能看到的页面，但是B的session窜进来却能够获得A的订单详情等。

Session互窜方法： 多TAB浏览器，在两个TAB页中都保留的是用户A的session记录，然后在其中一个TAB页执行退出操作，登陆用户B, 此时两个TAB页都是B的session，然后在另一个A的页面执行操作，查看是否能成功。 预期结果：有权限控制的操作，B不能执行A页面的操作，应该报错，没有权限控制的操作，B执行了A页面 操作后，数据记录是B的而不是A的。

2) Session超时

基于Session原理，需要验证系统session是否有超时机制，还需要验证session超时后功能是否还能继续走下去。

测试方法： 1、打开一个页面，等着10分钟session超时时间到了，然后对页面进行操作，查看效果。 2、多TAB浏览器，在两个TAB页中都保留的是用户A的session记录，然后在其中一个TAB页执行退出操作，马上在另外一个页面进行要验证的操作，查看是能继续到下一步还是到登录页面。

3) ...

6. URL安全

(1) URL参数检查

A: 对URL中参数信息检查是否正确 如：URL中的订单号、金额允许显示出来的话，需要验证其是否正确

B: 对于一些重要的参数信息，不应该在URL中显示出来 如：用户登陆时登录名、密码是否被显示出来了.

(2) URL参数值篡改

修改URL中的数据，看程序是否能识别： 如：对于以下URL，修改其中planId，看是程序是否可以识别： ?planId=878 又如：对于URL中包含金额参数的，修改金额看是否能够提交成功（可能导致用户把2元金额改成1元金额能提交），还有修改订单号等重要信息看是否会报错

(3) URL中参数进行XSS注入

什么是XSS？ XSS的全称是Cross Site Script（跨站点脚本） XSS的原理很简单，即进行脚本注入，URL执行时即把此脚本进行了执行，一般都是JavaScript脚本，如<script>alter(“abc”)<script> 在URL中进行XSS注入，也就是把URL中的参数改成JS脚本。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-67715-7.html