<aside>
💡 Базовые проверки для тестирования безопасности. Если хотите увидеть в списке еще проверки — оставьте комментарий на странице, чтобы мы могли учесть мнение и дополнить список.
</aside>
- [ ] есть редирект с http на https.
- [ ] cookie с приватной/секьютной информацией в инспекторе имеют флаг HttpOnly и secure.
- [ ] пароли (и прочая инфа) не хранится в куках.
- [ ] значения сессий отображаются в адресной строке в зашифрованном виде.
- [ ] в разделы, которые удаляются с сайта, нельзя перейти по прямой ссылке.
- [ ] проверить что будет при прямом обращении к файлам, размещенным на сервере.
- [ ] проверить лимит попыток на авторизацию/аутентификацию.
- [ ] авторизация/аутентификация: Если пользователь вышел из системы или сессия завершена, он не может пользоваться сайтом.
- [ ] авторизация/аутентификация: Проверить работу с сессиями пользователей.
- [ ] авторизация/аутентификация: Попытка выполнить недоступные действия (переход по прямой ссылке на страницы с ограниченным доступом, попытка выполнения действий, недоступных пользователю и т.д.).
- [ ] если пароль изменен, пользователь не может зайти под старым.
- [ ] данные идентификации пользователей и конфиденциальные данные (токены, адреса электронной почты, платежные реквизиты) хранятся в БД в зашифрованном виде.
- [ ] обезличивание данных пользователей которые передаются сторонним сервисам.
- [ ] проверить сайт с выключенным JS (на доступность секторного функционала),
- [ ] ошибки в консоли в инспекторе.
- [ ] наличие SSL сертификата.
- [ ] убедитесь, что в API нет общедоступных ресурсов.
- [ ] если какая-либо функциональность не работает, система не отображает информацию о приложении, сервере или базе данных. Вместо этого отображается соответствующее сообщение об ошибке.
- [ ] важные операции пишутся в логи, и информацию можно отследить.