登录安全性测试用例设计点.docx
需积分: 44 19 浏览量
2019-11-25
17:22:04
上传
评论 4
收藏 15KB DOCX 举报
登录安全性测试用例设计点
1. 查看用户密码后台存储是否加密
1)查看数据库中的密码存储
2. 用户密码在网络传输过程中是否加密
1)查看请求数据包中的密码是否加密
3. 登录退出后 session 是否销毁,使用登录时的 session 是否不能再访问登录才能访问
的页面
1)登录系统时通过 Burp suite 截取登录相关请求数据,并记录 session 信息,且空白区
域右击,将请求 Send Repeater,请请求发送到 Repeater 模块。
2)退出系统
3)在 Repeater 模块单击 Go 按钮,再次发送登录请求查看系统是否对退出后的用户授权
session 进行解除授权。
4、会话过期 session 是否销毁
1)登录系统后,查看用户信息,比如进入我的页面,同时使用 Burp suite 截取用户信息
及 session,且空白区域右击,将请求 Send Repeater,请请求发送到 Repeater 模块。
2)停留系统代码设置的指定时长,不做任何客户端与服务器的交互操作,如 30 分钟,
30 分钟后再在 Repeater 模块单击 Go 按钮,再次发送查看用户信息请求,如果能看到用
户信息则表示标识生命周期没起作用,如果看不到用户信息并提示需用户登录等信息则标
识生命周期正常执行了。
5、登录 session 是否每次重新生成,不存在固定
1)退出系统时记录 session 信息。
2)再次登录,将 session 信息与第一步 session 信息做对比,如果相同则存在固定会话
风险。
6、登录错误后的提示是否存在安全隐患
1)对登录失败的提示语应模糊提示,提高攻击者暴力破解的难度如登录账号或密码错
误
7、 不登录的情况下,在浏览器中直接输入登录后的 URL 地址,验证是否会重新定向到用
户登录界面
8. 密码输入框内输入的密码是否都可以在页面源码模式下被查看
7. 用户名和密码输入框分别输入典型的“SQL 注入攻击”字符串,验证系统的返回页面
1)用户名处输入:’ or 1=1#
语义分析:“#”在 mysql 中是注释符
select * from users where username=’’ or 1=1#’ and password=md5(’’)
资源评论
