考点介绍:
在移动互联网时代,短信验证码成为安全认证的重要途径。伴随着短信验证码的广泛应用,如何对其进行正确的测试是必不可少的。
本期分享的内容分为试题、文章及视频三部分,答案详情解析和文章内容点击文章末尾链接即可查看!
一、考点试题
1.登录处存在的逻辑漏洞有哪些?
解答:一、可以暴力破解用户名或密码
没有验证码机制,没有根据用户名限制失败次数,没有根据ip限制失败次数等等。
1.通常思路:
直接拿密码字典爆破某一个用户名。
拿固定的弱口令密码,去跑topxxx的用户名。
如果只是用户名限制失败次数,可以使用思路2的方法。
在存在返回提示用户名错误或者密码错误的情况下,可以分别爆用户名和密码......
2.验证码处存在的逻辑漏洞有哪些?
解答:一、登录验证码未刷新
没有清空session中的验证码信息。
通常思路:
1.抓包多次重放,看结果是否会返回验证码错误,如没有返回验证码错误则存在未刷新
2.观察检验的处理业务,如果验证码和用户名密码是分2次http请求校验,则也可以爆破用户名和验证码......
二、考点文章
1.【校招VIP】短信登录功能测试用例
主流程:输入正确的已注册过的手机号码,点击获取验证码,查看手机是否收到短信。收到短信后立即输入验证码,检查是否进行页面跳转到首界面.......
2.【校招VIP】渗透测试面试题大集合(详解)
1、什么是逻辑漏洞?
所有Web应用程序各种功能都是通过代码逻辑实现。任何Web应用程序,都可能存在大量逻辑操作,这些逻辑就是一个复杂的攻击面。
由于逻辑漏洞攻击特征不明显,许多自动化的扫描工具或者代码审计工具,都只能扫出类似SQL注入、XSS等常规的漏洞,难以发现逻辑漏洞......
3.【校招VIP】python利用第三方模块,发送短信验证码(测试案例)
今天学到个利用python第三方,发送短信验证码的代码,速实现一遍,短信立即收到,果断记录在案!
环境:虚拟机上centos7平台,python2.7版本......
三、考点视频
等价类是测试职位最有效直接的理论点
相关题目及解析内容可点击下方链接查看:
PC端链接:https://xiaozhao.vip/dTopic/detail/1293
移动端链接:https://m.xiaozhao.vip/dTopic/detail/1293
1028
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
