用戶登錄
檢測用戶登錄過程中是否需要輸入用戶名和密碼庸论。
檢測是否有密碼嘗試次數(shù)限制焕窝,限制策略是否安全嫉戚。
檢測是否存在密碼或賬戶登錄錯誤提示混淆的問題。
是否記住用戶名或密碼澈圈。
是否有錯誤信息提示彬檀。
是否有驗證碼確認用戶信息。
支付密碼和賬戶是否使用同一鍵盤進行輸入瞬女。
支付過程是否可以截圖窍帝。
是否含有敏感信息的輸入。
密碼管理
檢測密碼輸入是否使用安全鍵盤诽偷。
檢測密碼是否有強度要求坤学。
檢測密碼是否本地存儲疯坤。
檢測密碼是否加密傳輸。
檢測密碼找回策略是否存在安全隱患深浮。
支付安全
檢測是否有支付密碼保護压怠。
檢測是否有支付密碼試錯次數(shù)限制。
身份認證
檢測在安全級別要求較高的應用場景是否有除密碼之外的安全認證機制飞苇,安全認證機制是否起到較完善的安全保護效果菌瘫。
超時設置
檢測是否有會話超時機制,超時后重鑒別布卡。
檢測標準
《信息系統(tǒng)安全等級保護》
《應用安全開發(fā)管理規(guī)范》
《支付卡行業(yè)數(shù)據(jù)安全標準PCI-DSS》
《中國金融移動支付-客戶端技術規(guī)范》
