忘记密码安全测试_“忘记我”和测试

最新推荐文章于 2022-12-10 21:31:08 发布
最新推荐文章于 2022-12-10 21:31:08 发布
阅读量351 收藏
点赞数
文章标签: 数据库 java python mysql 设计模式
原文链接:https://www.javacodegeeks.com/2015/09/forget-me-and-tests.html
版权

忘记密码安全测试

您的用户在您的Web应用程序上拥有个人资料。 通常,您应该给他们一种删除其个人资料的方法(至少这是欧洲法院的决定 )。

“简单”表示您需要一个/forget-me端点,该端点将删除当前用户的每条数据。 从数据库,文件存储,搜索引擎等。除了让用户至少部分控制自己的数据(是否可以决定是他们的决定)之外,这对开发人员也有好处。

除了包含大量模拟的孤立的单元测试之外,您还可以进行其他类型的测试-集成测试,验收测试和Selenim测试。 所有这些都需要一种使数据库保持与执行前相同状态的方法。 在某些情况下,您可以使用只读事务(例如,通过spring-test自动获取),或者可以使用内存数据库并希望它与生产数据库相同,或者可以删除数据库并在每次运行时重新创建它。 但是这些是部分解决方案,具有一些额外的复杂性。

我认为最好的方法是重用“忘记我”功能。 从验收/Selenium测试中,您可以在测试结束时(tearDown)调用/ forget-me端点,对于集成测试y。 如果您分发客户端API(或第三方正在针对系统的测试部署构建它们),则可以再次调用“勿忘我”端点。

当然,这并不涵盖数据库中所需的与用户无关的数据。 如果您拥有此类数据(除了枚举和应始终存在的数据),则必须单独进行处理。

这是否还会带来额外的复杂性,以及不断更新您的“忘记我”功能的需求? 是否没有只读事务,或者没有每次运行后都会重新创建数据库的Shell脚本,更易于支持? 假设您仍然需要正常工作的“忘记我”功能–不。 最好重用它。 这也将确保端点确实在正常工作,并且您的用户可以被完全遗忘。

翻译自: https://www.javacodegeeks.com/2015/09/forget-me-and-tests.html

忘记密码安全测试

danpu0978
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逻辑漏洞——忘记密码、重置密码(案例分析、原理)
m0_61506558的博客
08-15 1539
输入手机号、获取短信验证码、输入错误的短信验证码1234后提交。那么,即便我没有短信验证码,通过将服务端下发给客户端的校验状态从“失败”改为“成功”也能成功重置找回账号密码。在第二步,校验短信验证码是否有效的结果应保存在服务端,某些网站未在服务端保存而是。,将服务端下发给客户端的校验状态 code 改为“0000”,可以重置其他用户密码。的状态(当然我们可以通过修改前端的代码让这个用户名变为可以修改的状态)那么,更改应答包中的状态值,可重置其他用户的密码。简单分析发现,校验通过时服务端并未向客户端。....
windows密码安全性测试
weixin_46248422的博客
07-26 1417
1.、直接通过mimikatz读取管理员密码 :可以在cs里面找到这个工具,但是它只能读操作系统的密码。lazagne工具可以读所有密码(浏览器、操作系统、邮件系统的密码)。 找到.exe文件,然后放到c盘目录下: 第一条:privilege::debug //提升权限 第二条:sekurlsa::logonpa ssWords //抓取密码 2.本地hash远程攻击:只能在低版本的kali机上才能成功。在解密不了的情况下使用这种方法。...
登录测试用例
Meng
09-02 3409
(4)中英文、特殊字符、空格、长度限制 - 一般情况下,登录账户和密码不允许输入中文。(6)同一用户在同一终端的多种浏览器上登录,验证登录功能的互斥性是否符合与其设计。(5)连续多次登录失败的情况下,系统是否会阻止后续的尝试以应对暴力破解。(5)验证码输入框内输入的验证码是否都可以在页面源码模式下被查看。(4)密码输入框内输入的密码是否都可以在页面源码模式下被查看。(4)不同浏览器、版本、分辨率下,显示和功能是否完整。(3)界面的文字是否简洁易懂,是否有错别字。(1)布局是否合理,输入框、按钮是否对齐。
账号密码注册登录忘记密码测试用例(挺详细的)
weixin_44764544的博客
12-14 6285
账号密码注册登录忘记密码测试用例
密码找回流程绕过测试
酷狗直播-锦凡歆的博客
05-28 684
密码找回流程绕过测试 很多网站的密码找回功能一般有以下几个步骤。 (1)用户输入找回密码的账号; (2)校验凭证:向用户发送短信验证码或者找回密码链接,用户回填验证码或单击链接进入密码重置页面,以此方式证明当前操作用户是账号主人; (3)校验成功进入重置密码页面。 在找回密码逻辑中,第二步校验凭证最为重要。不是账号主人是无法收到校验凭证 的,试想有没有办法可以绕过第二步凭证校验,直接进入第...
密码安全性检测简单模拟-python
xiaoyao_zhang的博客
07-18 2167
def check(passpword): c=0 if not password.isalnum(): c+=1 for i in password: if '0'<=i<='9': c+=1 break for i in password: if 'a'...
测试最好用的mysql密码忘记的解决方法
09-11
MySQL是世界上最流行的开源关系型数据库管理系统之一,但有时用户可能会遇到忘记MySQL数据库管理系统的管理员密码的问题。本篇文章将详细介绍一种经过测试验证的、最有效的解决MySQL密码遗忘问题的方法。 首先,...
Linux下Jenkins忘记密码的操作步骤
09-14
在Linux环境中,Jenkins是一个广泛使用的持续集成工具,用于自动化各种任务,如构建、测试和部署软件。然而,有时用户可能会遇到忘记Jenkins管理员密码的情况,这将导致无法正常访问和管理Jenkins实例。本篇将详细...
各个版本JIRA管理员忘记密码的解决办法
04-01
各个版本JIRA管理员忘记密码的解决办法
jQuery带步骤的忘记密码表单代码
10-27
以上就是使用jQuery构建带步骤的忘记密码表单的关键步骤和知识点。通过实践这些技术,你可以创建一个用户友好且功能完备的密码重置流程,提升网站的整体用户体验。在实际项目中,记得根据具体需求进行调整和优化。
测试用例(注册、登陆和修改密码)
01-12
注册、登陆和修改密码测试用例范例
移动APP功能测试之登录、注册、忘记密码测试要点
iteye_14167的博客
03-08 2233
对于一款APP来说,登陆、注册、忘记密码三个功能,不管是对于用户还是对于APP本身都是最重要的,所以在做[url=https://www.testbird.com/quick-functional-testing/url]APP功能测试[/url]是对这三个功能也要特别注意 登录 登录模块比较简单,只有一个界面,侧重点在异常情况下报错信息的测试,思路主要是:类型、长度、空、...
安全测试-密码管理
天道酬勤
05-06 542
禁止使用私有或者弱加密算法(比如禁止使用DES, SHA1等,推荐使用AES: 128位, RSA: 2048位, DSA: 2048 位) 采用基于哈希算法和加入盐值(salt)方式安全存储口令信息 密码输入框,可设计为显示密码和隐藏密码切换功能 密码重设和更改操作,需要进行二次合法身份验证 密码重设时,应对注册手机号和邮箱进行有效验证,链接只能发送到预先注册的邮件地址或预先绑定的手机号 临时密码和链接应设计一个短暂的有效期(比如5分钟),防止暴力破解 当密码重新设置时,应短信通知用户是否是本人在操作..
Windows密码安全性测试
qq_34304107的博客
04-11 709
一、本地管理员密码如何直接提取1、直接通过mimikatz读取管理员密码第一条:privilege::debug //提升权限第二条:sekurlsa::logonpassWords //抓取密码2、Lazagne 需要本地支持python 二、本地HASH远程登入主要通过MSF提供的exploit/windows/smb/psexec模块来完成。msf>exploit/windows/sm...
100.网络安全渗透测试—[常规漏洞挖掘与利用篇16]—[密码找回漏洞与测试]
qwsn
02-05 4398
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、密码找回漏洞与测试 1、密码找回漏洞简介 2、密码找回漏洞测试 (1)源码审计:forget.php (2)正常的密码找回过程: (3)密码找回漏洞分析: (4)密码找回漏洞测试: (5)漏洞总结:
账号找回逻辑_【业务逻辑漏洞4】如何测试找回密码
weixin_39639965的博客
01-02 896
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!常见的密码找回方式有:l邮箱找回l手机验证码找回l密码保护问题找回等这些常见的找回方式会存在哪些安全问题呢?今天主要来说说密码找回功能有哪些测试点及对应的测试方法。密码找回功能安全测试点,主要包含以下9个点:1.用户名枚举2.绕过密码找回步骤3.邮箱验...
登录功能测试点
weixin_45323426的博客
12-10 1830
登录页面的测试点
用账户名和密码登录测试用例
ZCYaiCLX3344的博客
03-17 6882
用账户名和密码登录测试用例
安全测试忘记密码存在的问题
小太阳~
02-26 4441
忘记密码这个功能相对于登录功能来说,是比较容易忽略的,因为大家可能觉得忘记密码(找回密码)比较简单,大多数的思路便是通过用户名、手机、邮件等找回密码,其实这个功能还是存在很多可以攻击的地方,也是比较容易出现安全问题的。第一类:没有使用加密手段场景一: 某网站的忘记密码功能是通过手机号码找回,我输入自己的手机号码,点击发送重置密码短信之后,我查看源代码(或者通过截取post请求),发现验证码存在源代
请列举忘记密码测试用例
最新发布
07-14
当涉及忘记密码功能时,可以考虑以下一些测试用例: ... ... 3. 输入无效的邮箱格式:输入格式不正确的邮箱地址,验证系统能够给出...以上是一些常见的忘记密码功能测试用例,具体还需要根据具体的需求和功能进行补充。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值