对业务逻辑的测试整理下思路,方便查看。
用户注册,是否可以重复注册,如admin或者admin (此处省略很多个空格) a
密码修改,修改密码逻辑是否有问题
密码重置,重置密码逻辑是否有问题,对每一的数据包中的参数进行逐一分析,观察修改密码那一步的参数是否可以获得。
短信验证码,短信炸弹,对验证码发送的次数没有限制。短信验证码是否可暴破。
图片验证码,验证码是否可重复使用。
登录,登录逻辑是否有问题,一般不太可能。
登录,会话ID生成机制是否有问题。
用户信息查看,是否可以水平越权访问其他用户页面,登录两个用户,对不同的数据包进行比对修改。
具有管理员界面,是否可以垂直越权访问管理员页面。
购买,修改价格后端是否会再次校验,余额不够,但是同时购买两个东西。
多步功能,能否跳过其中某些步骤。
请求次数限制,是否可以爆破,服务端如何限制是否可以绕过。
基本上现就这么多吧
网友评论