最主要的是做好用户名和密码本身的
1.数据验证,比如最大长度最小长度验证/特殊字符验证等。
2.然后就是有没有验证码,如果有多次密码错误就锁定账号功能的话,就不用验证码了。
3.账号或密码错误的报错信息。如果是“账号/用户名不存在”“账号错误”“密码错误”等就是漏洞,建议是“用户名或密码错误”
4.安全级别要求很高的网站最好用HTTPS/SSL
5.另外还有密码复杂性,密码的生命期,账号密码不能相同等等
有些安全测试是根据需求来的,可能应用不需要那么高的安全需要
概括了8个方面,这些都是要重点考虑的:
1. 正确的用户名和密码,包括是合法的字符和合法长度
2. 错误的用户名,包括用户名含有非法字符、长度过长、长度过短
3. 正确的用户名和错误的密码,包括非法字符、长度过长或过短
4. 用户名和密码都为空
5. 正确的用户名,密码为空
6. 任意的用户名和密码,包括正确的或错误的,也可以为空
7. 检查UI友好性
检查登录界面设计是否合理,符合UI规范标准
界面符合习惯、美观,按钮对齐,输入框对齐,无错别字,字体大小协调,文字描述准确
8. 检查安全性(SQL注入等)。
概括了8个方面,这些都是要重点考虑的:
1. 正确的用户名和密码,包括是合法的字符和合法长度
2. 错误的用户名,包括用户名含有非法字符、长度过长、长度过短
3. 正确的用户名和错误的密码,包括非法字符、长度过长或过短
4. 用户名和密码都为空
5. 正确的用户名,密码为空
6. 任意的用户名和密码,包括正确的或错误的,也可以为空
7. 检查UI友好性
检查登录界面设计是否合理,符合UI规范标准
界面符合习惯、美观,按钮对齐,输入框对齐,无错别字,字体大小协调,文字描述准确
8. 检查安全性(SQL注入等)
希望对你有帮助、、