歡迎關(guān)注公眾號：WeTester測試園，獲取更多內(nèi)容

四．信息泄露

通過抓包，檢查所請求的接口返回的數(shù)據(jù)，看有沒有包含可利用的字段

關(guān)鍵參數(shù)是否加密：比如登陸接口的用戶名和密碼是否加密 ；支付接口中，涉及用戶的身份證號碼、銀行卡卡號、銀行卡CVV碼等之類的信息有無加密

如果有使用第三方接口，也要檢測第三方接口是否會泄露用戶信息

還有錯誤請求返回不包含敏感信息，如當(dāng)用戶登錄失敗的時候，不能明確指出是密碼錯誤或者用戶不存在，預(yù)防暴力撞破用戶名或者密碼

五．HTTP 響應(yīng)頭控制

發(fā)送 X-Content-Type-Options: nosniff 頭.

發(fā)送 X-Frame-Options: deny 頭.

發(fā)送 Content-Security-Policy: default-src 'none' 頭.

刪除指紋頭 - X-Powered-By, Server, X-AspNet-Version 等等.

在響應(yīng)中強制使用 content-type, 如果你的類型是 application/json 那么你的 content-type 就是 application/json.

不要返回敏感的數(shù)據(jù), 如 credentials, Passwords, security tokens.

在操作結(jié)束時返回恰當(dāng)?shù)臓顟B(tài)碼. (如 200 OK, 400 Bad Request, 401 Unauthorized, 405 Method Not Allowed 等等).

六．服務(wù)端配置漏洞

如服務(wù)端版本信息泄露，或服務(wù)端程序本身存在漏洞等。