第六章 Wb测试V1.1.ppt

安全性用例设计：登录 用例设计思想 正常和异常的用户名密码登录 SQL注入式攻击（如：mm‘ or ’2‘’1 ） 猜解密码的测试 不同权限用户登录 小贴士：安全性测试并不能最终证明应用程序是安全的。 /coderzh/category/151315.html 强口令规则 Web应用安全开发规范中的强口令策略： 规则.1：口令长度的取值范围为：0-32 个字符；口令的最短长度和最长长度可配置；口令的最短长度建议默认为6个字符。 规则.2：口令中至少需要包括一个大写字母（A-Z）、一个小写字母（a-z）、一个数字字符（0-9）；口令是否包含特殊字符要求可以配置。 规则.3：口令中允许同一字符连续出现的最大次数可配置，取值范围：0-9，当取值为 0 时，表示无限制，建议默认为 3。 规则.4：口令须设置有效期，最短有效期的取值范围：0-9999 分钟，当取值为0时，表示不做限制，建议默认：5 分钟；最长有效期的取值范围：0-999 天，当取值为 0 时，表示口令永久有效，建议默认：90 天。 规则.5：在口令到期前，当用户登录时系统须进行提示，提前提示的天数可配置，取值范围：1-99 天，建议默认：7 天。 强口令规则 规则.6：口令到达最长有效期后，用户再次登录成功但在进入系统前，系统强制更改口令，直至更改成功。 规则.7：口令历史记录数可配置，取值范围为：0-30；建议