1. 不登錄系統(tǒng)，直接輸入登錄后的頁面的URL是否可以訪問；

2. 不登錄系統(tǒng)，直接輸入下載文件的URL是否可以下載文件；如輸入：http://url/download?name=file是否可以下載文件file

3. 退出登錄后，后退按鈕能否訪問之前的頁面；

4.ID/密碼驗證方式中能否使用簡單密碼；如密碼標準為6位以上，字母和數(shù)字的組合，不包含ID，連接的字母或數(shù)字不能超過n位

5.ID/密碼驗證方式中，同一個帳號在不同的機器上不同時登錄

6.ID/密碼驗證方式中，連續(xù)數(shù)次輸入錯誤密碼后該帳戶是否被鎖定

7.重要信息（如密碼，×××，信用卡號等）在輸入或者查詢時是否明文顯示；在瀏覽器地址欄中輸入命令JavaScript:alert(doucument.cookie)時是否有重要信息；在html源碼中能否看到重要信息；

8.手動更改URL中的參數(shù)值能否訪問沒有權(quán)限訪問的頁面。如普通用戶對應(yīng)的URL中的參數(shù)為l＝e，高級用戶對應(yīng)的URL中的參數(shù)為l＝s，以普通用戶的身份登錄系統(tǒng)后將URL中的參數(shù)e改為s來訪問沒有權(quán)限訪問的頁面

9.URL里不可修改的參數(shù)是否可以被修改；

10.上傳與服務(wù)器端語言（jsp，asp，PHP）一樣擴展名的文件或exe等可執(zhí)行文件后，確認在服務(wù)器端是否可直接運行

11.注冊用戶時是否可以以‘--’or1＝1—等做為用戶名

12.傳送給服務(wù)器的參數(shù)（如查詢關(guān)鍵字，URL中的參數(shù)等）中包含特殊字符（‘.’and1＝1--.‘a(chǎn)nd1＝0--.’.‘or 1＝0--）時是否可以正常處理

13.執(zhí)行新增操作時，在所有的輸入框中輸入腳本標簽（）后能否保存；

14.新增或修改重要信息（密碼，×××號碼，信用卡號等）時是否有自動完成功能（在form標簽中使用autocomplete＝0來關(guān)閉自動完成功能）

15.在URL中輸入下面的地址是否可以下載http://url/download.jsp?file=c:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/password

16.是否對session的有效期進行處理

17.錯誤信息中是否含有SQL語句，SQL錯誤信息以及web服務(wù)器的絕對路徑的等

創(chuàng)新互聯(lián)科技有限公司專業(yè)互聯(lián)網(wǎng)基礎(chǔ)服務(wù)商，為您提供成都服務(wù)器托管，高防服務(wù)器租用，成都IDC機房托管，成都主機托管等互聯(lián)網(wǎng)服務(wù)。