浅谈web安全测试之登录测试

最新推荐文章于 2024-03-07 15:08:12 发布
最新推荐文章于 2024-03-07 15:08:12 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 安全测试 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boomkid/article/details/125856509
版权

        工作那么些年,主要还是工具上面的使用,没有深入了解,也没有系统总结,今天结合工作实际和大家浅吹web安全测试之登录。

一:登录

1.用户名和用户ID必须唯一

2.口令密码复杂度,一般都是长度至少八位,字母/数字/特殊字符至少两种;

3.密码输入框不能明文显示和拷贝

4.修改口令必须校验就口令(这点很多人不太关注)

5.强制用户首次登录修改密码

6.采用安全传输协议

7不要以任何形式发送口令哈希或口令给用户

8.口令存储前使用盐值的Hash算法加密

9.不该存在’记住我‘功能

10:关闭自动填充

11.提供安全的口令重置功能

二:认证

1.对用户的额最终认证处理过程必须在服务端进行

2.验证码必须

3.用户名,密码,验证码必须在同一个请求提交给服务器,必须先校验验证码是否正确,校验成功后才能进行用户名和口令校验

4.所有登录页面的认证处理模块必须统一;所有针对第三方开放接口的处理模块必须统一

5.认证失败,不能提示明确的错误提示,同时记录日志(比如不能提示 ‘密码错误’。直接提示‘用户名或者密码错误’)

6.禁止在系统中预留任何未公开的账号或者特殊访问机制

7.对于重要管理事务/交易 需要开启二次认证

8.连续登录失败后,要有锁定机制,并记录到日志中

三:会话管理

1.使用框架自身提供的会话管理功能 建议

2.cookie要设置httponly属性

3.登录前后,会话标识要变化;两次登录,会话标识要变化

4.设置会话超时机制,超时后清楚信息

5.为cookie设置适当限制的domain和path值

6.当服务端检测到用户ip,useragent等信息变化,应当强制销毁当前会话,并要求重新登录

7.防止并发登录

8.为cookie设置secure标志

9.开展鉴权测试,同级别不同账号之间,上下级别账号之间

10.绕过认证,用户不可以直接访问到本需要权限认证的资源

11.生产会话标识随机数是否安全

--------------未完待续===============

boomkid
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--13--登录认证安全测试
武天旭的博客
09-12 9218
1、密码明文传输 1、漏洞描述 密码明文传输一般存在于web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取 2、检测条件 确定一个或多个常用应用程序包含的可访问的管理界面。 3、检测方法 1、找到网站或者web系统登录页面或者敏感数据提交页面。 2、通过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder等等,分析其数据包中相关p...
软件测试——安全测试常见测试方法
weixin_45189665的博客
10-13 4008
通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的操作系统版本等等。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。通过代码走读的方式对源代码的安全性进行测试,常用的代码检查方法有:数据流、控制流、信息流等,通过这些测试方法与安全规则库进行匹配,进而发现潜在的安全漏洞。
登录页面安全测试点整理
伤心的辣条
10-11 991
1、检查密码数据中是否加密存贮 2、检查密码在传输过程中是否加密,接口或日志中 3、检查密码是否设置强度校验 4、检查密码是否有有效期,有效期到后是否提示修改,不修改是否无法正常登录
安全性测试:以用户登录为例
闫振兴的博客
01-29 6534
安全性测试包括很多方面,安全性测试的工具又有很多,其中以AppScan最为全面,他几乎涵盖了所有安全测试的问题,并且能够生成一个安全测试报告。 以用户登录为例,安全测试需要注意哪些方面: 密码问题: 验证储存在后台的用户密码是否加密。 验证用户密码在网络中传输是否加密。 验证用户面是否具有时效性,到期后是否提示用户更改密码。 验证密码输入框是否支持...
【学习】软件测试中,如何对登录页面进行全面的安全测试
最新发布
青岛国之信评测中心
03-07 578
会话固定:检查系统是否容易受到会话固定攻击,即攻击者预先设置一个有效的会话ID,并诱使用户使用该ID登录。CSRF令牌验证:检查系统是否在关键请求中包含不可预测的CSRF令牌,以确保请求来自合法的用户操作。请求来源验证:测试系统是否验证请求的HTTP头部信息(如Referer),以确认请求的来源是否合法。输入长度限制:测试登录名和密码的输入长度是否有限制,防止过长的输入可能导致的缓冲区溢出攻击。密码历史检查:测试系统是否防止用户使用最近使用过的密码,以提高账户安全性。
web 登录界面的测试用例-转自51testing
热门推荐
oscar blog
06-06 1万+
1、一个好的用例的表述要点,即用例中应当包含的信息 一个优秀的测试用例,应该包含以下信息: 1) 软件或项目的名称 2) 软件或项目的版本(内部版本号) 3) 功能模块名 4) 测试用例的简单描述,即该用例执行的目的或方法 5) 测试用例的参考信息(便于跟踪和参考) 6) 本测试用例与其他测试用例间的依赖关系 7) 本用例的前置条件,即执行本用例必须要满足的条件,如对数据库的访问权
菜鸟——web安全测试
01-27
一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的...
菜鸟——web安全测试(专为小白提供)
12-26
web安全测试 本文仅为小白了解安全测试提供帮助 一、安全测试注意事项 二、web介绍 三、浏览器 四、需要了解的知识 五、安全测试工具 六、常见的安全漏洞
Web测试的必要性
03-23
Web测试的必要性随着网络的突飞猛进,人们的生活也越来越丰富,同事对网络各方面的需求也越来越明显,web测试也随之越要越必要。一、测试的必要性Web应用不同于传统软件,具有自身的特点,因此有不同于一般软件...
Web渗透测试的信息收集.pdf
11-07
Web渗透测试的信息收集 Web渗透测试是当前比较流行的网站安全测试方法,其中信息收集工作是Web渗透测试的第一步,直接关系到整个渗透测试的质量。文章首先介绍了信息收集,然后结合实验详细阐述了信息收集中的...
登录安全性测试用例设计点.docx
11-25
登录安全性测试用例设计点 1.  查看用户密码后台存储是否加密 1)查看数据库中的密码存储 2.  用户密码在网络传输过程中是否加密 1)查看请求数据包中的密码是否加密 3.登录退出后session是否销毁,使用登录时的session是否不能再访问登录才能访问的页面 1)登录系统时通过Burp suite截取登录相关请求数据,并记录session信息,且空白区域右击,将请求Send Repeater,请请求发送到Repeater模块。 2)退出系统 3)在Repeater模块单击Go按钮,再次发送登录请求查看系统是否对退出后的用户授权session进行解除授权。
MSF渗透测试
02-24
此外还加入一个Web服务框架,新的免杀模块,优化了控制功能等。下面小白总结了一下在渗透测试中,使用频率较多的MSF命令,分为以下几块来讲。信息收集发现目标网段的存活主机:我们可以利用auxili
安全测试内容
weixin_42364846的博客
10-20 6271
安全测试就是检查产品是否满足安全需求的过程。 众所周知软件测试分为四大类型,分别是:功能测试、自动化测试、安全测试和性能测试,而安全测试是在功能测试 和自动化测试之后,性能测试之前执行的,以免安全测试后修改的一些问题会影响性能。 安全测试的内容通常包括 1.跳过权限验证 2.修改提交的请求信息等等 3.复杂一些的产品还要进行SQL注入, 4.跨站点脚本之类的测试, SQL注入 由于程序员的水平及工作经验参差不齐,相当一大部分程序员在编写程序的时候对用户输入数据的合法性没有进行判 断,就给应用程序带来一定的安
登录功能测试点概要
weixin_42860160的博客
06-16 1393
一. 界面测试设计要点: 界面的设计风格是否与UI的设计风格统一,布局是否合理, 按钮是否对齐 web的话, 对页面缩放登录模块是否与缩放比例缩放 界面中的文字简洁易懂,没有错别字 二. 功能测试设计要点: 输入已注册的用户名和正确的密码,验证是否成功登录 输入已注册的用户名和不正确的密码,验证是否成功失败,且提示信息正确 输入未注册的用户名和任意密码,验证是否登录失败,且提示信息正确 使用未激活账户登录,验证是否登录失败 使用被停用用户登录,验证是否登录失败 用户名
如何测试一个网页登陆界面
angtuo7111的博客
02-25 800
具体需求: 有一个登陆页面, (假如上面有2个textbox, 一个提交按钮。 请针对这个页面设计30个以上的test case.) 此题的考察目的: 面试者是否熟悉各种测试方法,是否有丰富的Web测试经验, 是否了解Web开发,以及设计Test case的能力 这个题目还是相当有难度的, 一般的人很难把这个题目回答好。 首先,你要了解用户的需求,比如这个登录界面应该是弹出窗...
web 后台测试案例-登录
jingjingyu的博客
08-12 899
页面 界面符合习惯、美观,按钮对齐,输入框对齐,无错别字,字体大小协调,文字描述准确 功能 1、输入正确的用户名、密码,是否登录成功 2、输入错误的用户名或者密码,登录失败s有提示(用户名或密码为空) 3、用户名、密码支持的字符类型 4、输完用户名之后按Tab键是否能到输入密码的框,输完密码之后按回车能否登录 5、如果有记住用户名密码的功能,下一次打开页面,是否默认有用户名密码(-浏...
安全测试_登录页面考察点
qq_42708367的博客
04-04 1132
登录页面 一、弱密码 弱密码,指的是容易破译/获取的密码。对于密码强度未做校验的系统,会导致用户在设置密码时可以设置最容易猜测的密码,比如“123456”等。如果有弱密码漏洞,会导致访问权限限制失效,攻击者可以直接暴力破解获得口令登录系统,从而引发不可估量的损失. 二、登录失败信息明确 当用户登录系统失败时,系统会提示用户登录的失败信息,假如提交账号在系统中不存在,系统提示“用户名不存在”、“账号...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值