轉(zhuǎn)載---------------------

1. ? ? ? ?不登錄系統(tǒng)，直接輸入登錄后的頁(yè)面的URL是否可以訪(fǎng)問(wèn)；

2. ? ? ? ?不登錄系統(tǒng)，直接輸入下載文件的URL是否可以下載文件；

如輸入：http://url/download?name=file是否可以下載文件file

3. ? ? ? ?退出登錄后，后退按鈕能否訪(fǎng)問(wèn)之前的頁(yè)面；

4. ? ? ? ?ID/密碼驗(yàn)證方式中能否使用簡(jiǎn)單密碼；

如密碼標(biāo)準(zhǔn)為6位以上，字母和數(shù)字的組合，不包含ID，連接的字母或數(shù)字不能超過(guò)n位

5. ? ? ? ?ID/密碼驗(yàn)證方式中，同一個(gè)帳號(hào)在不同的機(jī)器上不同時(shí)登錄

6. ? ? ? ?ID/密碼驗(yàn)證方式中，連續(xù)數(shù)次輸入錯(cuò)誤密碼后該帳戶(hù)是否被鎖定

7. ? ? ? ?重要信息（如密碼，身份證，信用卡號(hào)等）在輸入或者查詢(xún)時(shí)是否明文顯示；

在瀏覽器地址欄中輸入命令javascript:alert(doucument.cookie)時(shí)是否有重要信息；

在html源碼中能否看到重要信息；

8. ? ? ? ?手動(dòng)更改URL中的參數(shù)值能否訪(fǎng)問(wèn)沒(méi)有權(quán)限訪(fǎng)問(wèn)的頁(yè)面。

如普通用戶(hù)對(duì)應(yīng)的URL中的參數(shù)為l＝e，高級(jí)用戶(hù)對(duì)應(yīng)的URL中的參數(shù)為l＝s，以普通用戶(hù)的身份登錄系統(tǒng)后將URL中的參數(shù)e改為s來(lái)訪(fǎng)問(wèn)沒(méi)有權(quán)限訪(fǎng)問(wèn)的頁(yè)面

9. ? ? ? ?URL里不可修改的參數(shù)是否可以被修改；

10. ? ? ? ?上傳與服務(wù)器端語(yǔ)言（jsp，asp，php）一樣擴(kuò)展名的文件或exe等可執(zhí)行文件后，確認(rèn)在服務(wù)器端是否可直接運(yùn)行

11. ? ? ? ?注冊(cè)用戶(hù)時(shí)是否可以以‘--’or1＝1—等做為用戶(hù)名

12. ? ? ? ?傳送給服務(wù)器的參數(shù)（如查詢(xún)關(guān)鍵字，URL中的參數(shù)等）中包含特殊字符（‘.’and1＝1--.‘a(chǎn)nd1＝0--.’.‘or 1＝0--）時(shí)是否可以正常處理

13. ? ? ? ?執(zhí)行新增操作時(shí)，在所有的輸入框中輸入腳本標(biāo)簽（alert(“”)）后能否保存；

14. ? ? ? ?新增或修改重要信息（密碼，身份證號(hào)碼，信用卡號(hào)等）時(shí)是否有自動(dòng)完成功能

（在form標(biāo)簽中使用autocomplete＝0來(lái)關(guān)閉自動(dòng)完成功能）

15. ? ? ? ?在URL中輸入下面的地址是否可以下載

http://url/download.jsp?file=c:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/password

16. ? ? ? ?是否對(duì)session的有效期進(jìn)行處理

17. ? ? ? ?錯(cuò)誤信息中是否含有SQL語(yǔ)句，SQL錯(cuò)誤信息以及web服務(wù)器的絕對(duì)路徑的等