<aside> 💡 Базовые проверки для тестирования безопасности. Если хотите увидеть в списке еще проверки — оставьте комментарий на странице, чтобы мы могли учесть мнение и дополнить список.

</aside>

• [ ] есть редирект с http на https.
• [ ] cookie с приватной/секьютной информацией в инспекторе имеют флаг HttpOnly и secure.
• [ ] пароли (и прочая инфа) не хранится в куках.
• [ ] значения сессий отображаются в адресной строке в зашифрованном виде.
• [ ] в разделы, которые удаляются с сайта, нельзя перейти по прямой ссылке.
• [ ] проверить что будет при прямом обращении к файлам, размещенным на сервере.
• [ ] проверить лимит попыток на авторизацию/аутентификацию.
• [ ] авторизация/аутентификация: Если пользователь вышел из системы или сессия завершена, он не может пользоваться сайтом.
• [ ] авторизация/аутентификация: Проверить работу с сессиями пользователей.
• [ ] авторизация/аутентификация: Попытка выполнить недоступные действия (переход по прямой ссылке на страницы с ограниченным доступом, попытка выполнения действий, недоступных пользователю и т.д.).
• [ ] если пароль изменен, пользователь не может зайти под старым.
• [ ] данные идентификации пользователей и конфиденциальные данные (токены, адреса электронной почты, платежные реквизиты) хранятся в БД в зашифрованном виде.
• [ ] обезличивание данных пользователей которые передаются сторонним сервисам.
• [ ] проверить сайт с выключенным JS (на доступность секторного функционала),
• [ ] ошибки в консоли в инспекторе.
• [ ] наличие SSL сертификата.
• [ ] убедитесь, что в API нет общедоступных ресурсов.
• [ ] если какая-либо функциональность не работает, система не отображает информацию о приложении, сервере или базе данных. Вместо этого отображается соответствующее сообщение об ошибке.
• [ ] важные операции пишутся в логи, и информацию можно отследить.