安全性测试:以用户登录为例

最新推荐文章于 2024-03-07 15:08:12 发布
最新推荐文章于 2024-03-07 15:08:12 发布
阅读量6.3k 收藏 56
点赞数 7
分类专栏: 测试基础部分 高级测试 初级测试
只做原创,告别转载。
本文链接:https://blog.csdn.net/pingsha_luoyan/article/details/104104557
版权

       安全性测试包括很多方面,安全性测试的工具又有很多,其中以AppScan最为全面,他几乎涵盖了所有安全测试的问题,并且能够生成一个安全测试报告。

      以用户登录为例,安全测试需要注意哪些方面:

密码问题:

  1.       验证储存在后台的用户密码是否加密。
  2. 验证用户密码在网络中传输是否加密。
  3. 验证用户面是否具有时效性,到期后是否提示用户更改密码。
  4. 验证密码输入框是否支持复制和粘贴
  5. 验证用户密码

用户登录:

  1.    没有登陆的前提之下,在浏览器的地址栏中直接输入登录后的URL地址,判断一下是否跳转到用户登录界面。
  2. 当密码输入框中,输入用户密码后,能否在页面源码模式下查看。
  3. 同一个用户已经登录后,在其他PC端或手机登录之后,是否互斥。
  4. 同一用户在多台终端的浏览器上登录,验证登录的互斥性。
  5. 验证同一用户多次登录失败情况下,验证系统是否会组织后续的登录以应对暴力破解密码。

用户攻击:

  1. 用户名和密码输入框中输入“SQL注入攻击”字符串,验证系统返回页面
  2. 用户名和密码输入框中输入“跨站脚本攻击”字符串,验证系统的行为是否被篡改。

 

飞翔的大黑壮(猫猫)
关注
  • 7
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器安全测试.doc
06-08
企业服务器安全性测试 SQL Server弱口令测试对于企业而言,服务器的重要性是不言而喻的。因此管理员们往往以 维持服务器的稳定、高效地运行作为自己的工作目标,但是对于服务器的安全性往往考 虑得较少,至少对于某些管理员是这样的。   最近笔者进行了两例服务器的安全测试,下面把这两例测试过程写下来,希望对大 家有所启示。   测试工具:   1.S扫描器(一种速度极快的多线程命令行下的扫描工具)   2.SQL登陆器   3.DNS溢出工具   4.cmd(微软命令行工具)   4.scansql.exe(SQL弱口令扫描工具)   一、SQL Server弱口令测试   1.缘由:   SQL Server是很多中小型企业、事业单位的首选数据库系统,由于一些管理员的疏忽或者安 全意识淡薄,总是以数据库默认的用户SA登录数据库,并且采用了默认的空密码或者设 置了若口令。   2.测试:   以笔者本机IP为中心,随机选取了一个IP段进行测试。   第一步:在命令提示符下运行s扫描器,输入一个IP段: s syn 61.178.*.1 61.178.*.254 1433 扫描到13个开了1433端口的服务器。(图1)   第二步:把扫描结果保存为一个文本文件,然后用scansql.exe工具对这些IP进行若 口令检测,检测到2个弱口令的IP。然后打开SQL连接器,输入其中一个若口令I,账户" sa"空密码连接成功如图2。然后敲命令"dir c:",可以执行,如图3。这样就等于获得了一个具有system权限的shell(比管理员权限 还高!),至此这台数据库服务器沦陷。(图2)(图3)   总结:虽然从上面这个IP段得到的存在SQL弱口令的服务器并不多,但如果存在弱口 令并且被攻击者利用,那对数据库服务器的打击将是毁灭性的,管理员们一定要加固数 据库的口令。 .   二、DNS溢出测试   1.缘由:   DNS溢出漏洞是去年微软的一个高危漏洞,攻击者通过该漏洞可以溢出 获得一个shell,进而控制这台服务器。一年过去了,还有存在该漏洞的服务器吗?   2.测试:   笔者以某企业网站的IP为中心进行测试。   第一步:先看看该网站Web服务器的IP地址,打开命令提示符,敲入如下命令:pin g www.*.com,得知ip地址为:202.2##.*.196。   第二步:以202.2##.*.196为中心确定一个IP段,在命令行下用S扫描器扫描开放了 53端口(DNS端口)的服务器。对扫描结果中的IP逐个进行溢出测试,经过一次次的测试找 到了一个存在DNS溢出的IP。在命令行下敲入如下命令:dns -s 202.2##.*.196,显示如图4。(图4)   说明:服务器采用的是windows 2000,在1052端口存在DNS溢出漏洞。   第三步:继续在命令行下,敲入如下命令:dns -t2000all 202.2##.*.196 1052 显示如图5。(图5)   第四步:重新打开另外一个命令提示符,敲入命令:telnet 202.2##.*.196 1100,速度很快,返回一个shell,溢出成功。在telnet界面中敲入如下命令:net query,显示如图6,看来管理员不在线。(图6)   第五步:在Telnet命令提示符下敲入命令:net user asp$ "test" /add net localgroup administrators asp$ /add,建立一个具有管理员权限的asp$账户,密码为"test"。在本机运行"mstsc",打开 "远程桌面连接工具",输入IP地址:202.2##.*.196,用户名:asp$ 密码:test,连接 成功如图7。(图7)   第六步:打开"管理工具",发现这台主机还是一个域控制器,打开"域用户和计算机 ",域成员竟然有43511个如图8,看来这个企业的局域网的规模不小。(图8)   总结:一年前的漏洞到现在还没有打,管理员太失职了。   上面有关服务器的两例安全测试,虽是个案不具有普遍性,但其中反应出的管理员 的疏忽大意及其安全意识淡薄是不容忽视的。笔者认为,作为企业服务器稳定高效固然 重要,但安全更重要,没有了安全性其他都无从谈起。就让我们从为服务器打好补丁, 设置健壮的密码开始,全方位地打造安全的服务器。 友情提示:范文可能无法思考和涵盖全面,供参考!最好找专业人士起草或审核后使用, 感谢您的下载! ----------------------- 服务器安全测试全文共10页,当前为第1页。 服务器安全测试全文共10页,当前为第2页。 服务器安全测试全文共10页,当前为第3页。 服务器安全测试全文共10页,当前为第4页。 服务器安全测试全文共10页,当前为第5页。
登录测试用例设计点
热门推荐
Dawson_cai的博客
07-02 10万+
在看了一个有关登录的一个课程之后,发现自己以前对登录测试的用例设计简直是井底之蛙,在跟领导聊天之后一致认为可以就这一课文章进行一个整理概括,加以完善,还望大家多多提意见,有借鉴到的内容还望见谅,本文章只是一个整理,与完善补充,并非抄袭,方便各位拿来参看借鉴同时也方便自己拿来借鉴使用,花了这么多功夫写出来不能浪费,所以发表出来供大家参考 功能性用例设计点: 1.  输...
【学习】软件测试中,如何对登录页面进行全面的安全测试
最新发布
青岛国之信评测中心
03-07 495
会话固定:检查系统是否容易受到会话固定攻击,即攻击者预先设置一个有效的会话ID,并诱使用户使用该ID登录。CSRF令牌验证:检查系统是否在关键请求中包含不可预测的CSRF令牌,以确保请求来自合法的用户操作。请求来源验证:测试系统是否验证请求的HTTP头部信息(如Referer),以确认请求的来源是否合法。输入长度限制:测试登录名和密码的输入长度是否有限制,防止过长的输入可能导致的缓冲区溢出攻击。密码历史检查:测试系统是否防止用户使用最近使用过的密码,以提高账户安全性
用例设计 :如何测试一个应用的登录场景
DJ355的博客
08-03 204
在应用测试中,登录场景是一个非常重要的测试领域。登录场景测试的目的是验证应用在用户登录时的正确性和稳定性,包括用户输入的正确性、登录流程的正确性、登录状态的正确性等。首先,对于高质量的软件测试,用例设计不仅需要考虑明确的的显式功能性需求,还要涉及兼容性、安全性和性能等一系列的非功能性需求对软件系统的质量有着举足轻重的作用。其次,优秀的测试工程师必须具有宽广的知识面,才能设计出有针对性、更易于发现问题的测试用例
软件测试面试之用户登录测试用例(不断更新)
小卡也很萌
03-07 624
7.如果登录功能启用了验证码,在用户名和密码正确的前提下,输入错误的验证码,验证是否登录失败,并且提示信息正确。6.如果登录功能启用了验证码,在用户名和密码正确的前提下,输入正确的验证码,验证是否登录成功。3.不登录的情况下,在浏览器中直接输入登录后的url地址,验证是否会重定向到用户登录界面。13.不同级别的用户,比如管理员用户和普通用户,登录系统后的权限是否正确。3.输入错误的用户名和正确的密码,验证是否登录失败,并且提示信息正确。2.输入正确的用户名和错误密码,验证是否登录失败,并且提示信息正确。
登录页面测试用例设计
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
03-01 2988
相信大家都有过写登录测试用例的经验,相较于开发人员编写代码而言,测试人员编写用例同样重要。本文作者总结了一些关于登录用例的经验。
浅谈web安全测试登录测试
boomkid的博客
07-18 1598
web安全测试登录
登录页面安全性的研究
mulujute
11-30 1024
1、登录时对用户名、密码、验证码的合法性验证 2、连续登录失败后的处理策略(比如:连续失败3次,锁定账号一段时间 3、用户名的规则 4、密码策略(比如:长度限制、字符限制、不能与账号相同等) 5、密码输入框不允许粘贴复制 6、用户登录密码是否是可见 7、是否有密码过期策略 8、密码是否采取符合要求的加密算法 9、密码不能明文传输 10、日志中是否记录明文密码 11、数据库中不能
登录安全性测试用例设计点(基于burpsuite)
Cora_sasa的博客
09-07 154
2)停留系统代码设置的指定时长,不做任何客户端与服务器的交互操作,如30分钟,30分钟后再在Repeater模块单击Go按钮,再次发送查看用户信息请求,如果能看到用户信息则表示标识生命周期没起作用,如果看不到用户信息并提示需用户登录等信息则标识生命周期正常执行了。1)登录系统后,查看用户信息,比如进入我的页面,同时使用Burp suite截取用户信息及session,且空白区域右击,将请求Send Repeater,请请求发送到Repeater模块。
登录(认证)常见安全问题与测试方法汇总
明光札记
11-20 316
本篇主要介绍WEB系统登录功能会出现的一些安全问题,以及测试方法,在介绍具体方法之前我们先梳理一下一个正常登录逻辑,以方便我们更好的理解和发掘安全问题。
登录安全测试
qq_53869058的博客
10-27 453
登录安全测试是确保系统的用户身份验证机制和登录过程的安全性的重要步骤。
基于高校校园网的网络规划设计与实现-以锦城学院为例-kaic.docx
03-03
3.2 用户需求 3.3 业务需求 3.4 安全需求 4 学院网络设计方案 4.1 网络设计原则 4.2 网络拓扑图 4.3 VLAN和IP地址规划 4.4 网络分层设计 4.4.1 核心层设计 4.5 MPLS VPN设计 4.6 网络安全设计 4.7 无线网络设计 5 ...
课程名称:计算机系统安全(1).pptx
05-25
例:2001年2月9日中美之间的海底光缆被阻断的影响。 人为的对物理安全的威胁包括: 偷窃 废物搜寻 间谍活动 第二讲 计算机系统的物理安全 课程名称:计算机系统安全(1)全文共36页,当前为第2页。 物理安全包括三个...
测试用例设计方法场景法VS功能
03-23
1、目的站在用户的角度,以用户的使用逻辑及操作习惯为出发点,结合功能用例的设计方法,使用例设计更符合用户使用逻辑更具有可执行性,从而最大程度上覆盖用户需求。  1、目的  站在用户的角度,以用户的使用逻辑...
毕业设计:基于SSM的mysql-网络安全与信息管理学院班级管理系统(源码 + 数据库 + 说明文档)
06-11
毕业设计:基于SSM的mysql_网络安全与信息管理学院班级管理系统(源码 + 数据库 + 说明文档) 2 需求分析 9 2.1需求调研 9 2.2可行性分析 9 2.2.1技术的可行性 9 2.2.2经济的可行性 9 2.2.3操作可行性 10 2.3用户用...
软件质量模型详解
闫振兴的博客
07-04 2万+
软件质量模型有6大特性、27个子特性组成。 功能性:满足用户明确的和隐含的需求功能 易用性;软件在指定的条件下,维护规定的性能级别的能力。 可靠性有“三规”:指定的环境,规定的时间,规定的性能。 可靠性指标:平均无故障时间(MTTF),平均恢复时间(MTTR),平均失效间隔时间(MTBR)。 ...
集成测试的策略详解:
闫振兴的博客
07-06 1万+
集成测试的基础策略有很多,通常分为两种:非增量式集成测试策略和增量式集成测试策略 第一种:非增量式集成测试策略 非增量式集成测试策略也叫做大爆炸集成、一次性集成; 即在最短的时间内把所有的系统组件一次性集成到被测系统中,并通过最少的用例来验证整个系统,不考虑各组件之间的相互依赖性或者可能存在的风险。 优点: 容易理解,比较简单 可以多人并行工作,对人力物力资源的利用率较高。...
系统测试的策略:15个
闫振兴的博客
07-08 1万+
针对不同的软件,系统测试的策略各不相同,例如:金融方面的软件安全性放在首位。 1.功能测试:(最基础的) 检测软件对象是否存在一下错误: 1.是否有不正确,遗漏,或者多余的功能 2.是否满足了用户需求和隐藏需求 3.对输入有无正确的响应,输出做出正确的显示 4.对系统的流程设计是否正确合理 5.所...
PostMan:高级使用教程
闫振兴的博客
07-05 1万+
如图:主要讲解postman的test测试以及环境的配置 如图:主要讲解postman的test测试以及环境的配置 用例执行历史记录 收藏夹 请求类型:常用的有GET,POST,PUT,PATCH,DELETE。 链接 test测试断言 执行 环境选用 新的配置 首先讲解一下postman的环境配置: 为什么要配置环境变量:当测试用例的ip或者端口号更改时,我们需要将...
软件测试——以自助票务系统为例
05-30
好的,我会尽力回答你关于自助票务系统的软件测试问题。 首先,自助票务系统需要进行什么类型的测试? 1. 功能测试测试系统的各项功能是否正常,如购票、退票、修改订单等。 2. 性能测试测试系统的性能指标,如响应速度、并发处理能力等。 3. 兼容性测试测试系统在不同的操作系统、浏览器、设备上的兼容性。 4. 安全测试测试系统的安全性,如是否存在漏洞、是否符合相关安全标准等。 5. 可用性测试测试系统的易用性,如界面设计、操作流程等。 接下来,我们可以根据以上测试类型,分别进行具体的测试工作。 1. 功能测试: 在功能测试中,我们需要针对系统的各项功能进行测试,包括购票、退票、修改订单等。具体测试用例可以根据实际情况编写,例如: 购票: - 测试用户能否成功登录系统; - 测试用户能否正确选择目的地和出发时间; - 测试用户能否成功选座购票; - 测试用户能否成功支付订单; - 测试用户能否正确收到购票信息。 退票: - 测试用户能否成功登录系统; - 测试用户能否找到已购票的订单; - 测试用户能否成功申请退票; - 测试用户能否正确收到退票信息。 修改订单: - 测试用户能否成功登录系统; - 测试用户能否找到已购票的订单; - 测试用户能否成功修改订单信息; - 测试用户能否正确收到订单修改信息。 2. 性能测试: 在性能测试中,我们需要测试系统的各项性能指标,包括响应速度、并发处理能力等。具体测试用例可以根据实际情况编写,例如: 响应速度: - 测试用户在不同网络环境下,系统的响应速度; - 测试系统在高峰期的响应速度。 并发处理能力: - 测试系统能否同时处理多个用户的请求; - 测试系统在高并发情况下的处理能力。 3. 兼容性测试: 在兼容性测试中,我们需要测试系统在不同的操作系统、浏览器、设备上的兼容性。具体测试用例可以根据实际情况编写,例如: 操作系统: - 测试系统在不同操作系统下的兼容性,如Windows、MacOS、Linux等。 浏览器: - 测试系统在不同浏览器下的兼容性,如Chrome、Firefox、Safari等。 设备: - 测试系统在不同设备上的兼容性,如PC、手机、平板等。 4. 安全测试: 在安全测试中,我们需要测试系统的安全性,包括是否存在漏洞、是否符合相关安全标准等。具体测试用例可以根据实际情况编写,例如: 漏洞测试: - 测试系统是否存在常见的漏洞,如SQL注入、XSS攻击等。 安全标准测试: - 测试系统是否符合相关安全标准,如PCI DSS等。 5. 可用性测试: 在可用性测试中,我们需要测试系统的易用性,包括界面设计、操作流程等。具体测试用例可以根据实际情况编写,例如: 界面设计: - 测试系统的界面设计是否符合用户习惯; - 测试系统的界面是否简洁明了。 操作流程: - 测试系统的操作流程是否合理; - 测试系统是否提供足够的帮助信息。 以上是我对自助票务系统进行软件测试的建议,希望能对你有所帮助。如果你有其他问题,可以随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值