测试记录-验证码测试

已于 2022-11-08 16:13:48 修改
阅读量896 收藏 5
点赞数
文章标签: 安全 web安全
于 2022-11-02 16:52:20 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/smile_mr/article/details/127654679
版权

验证码测试

测试目的:查看是否有验证码机制,以及验证码机制是否完善

  1. 登陆页面是否存在验证码,不存在说明存在漏洞,完成测试
  2. 验证码和用户名、密码是否一次性、同时提交给服务器验证,如果是分开提交、分开验证,则存在漏洞
  3. 在服务器端,是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞。(检测方法:输入错误的用户名或密码、错误的验证码。观察返回信息,是否只提示验证码错误,也就是说当验证码错误时,禁止再判断用户名和密码。)
  4. 验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞,完成测试
  5. 生成的验证码是否可以通过html源代码查看到,如果可以说明存在漏洞,完成测试
  6. 生成验证码的模块是否根据提供的参数生成验证码,如果是说明存在漏洞,完成测试
  7. 请求10次观察验证码是否随机生成,如果存在一定的规律(例如5次后出现同一验证码)说明存在漏洞,完成测试
  8. 观察验证码图片中背景是否存在无规律的点或线条,如果背景为纯色(例如只有白色)说明存在漏洞,完成测试
  9. 验证码在认证一次后是否立即失效:
    • 请求登陆页面,得到生成的验证码
    • 开启WebScarab,配置对GET和POST请求进行拦截;并在浏览器中配置代理服务器IP为127.0.0.1,端口为8008
    • 填入错误的用户名和口令,填入正确的验证码,提交表单
    • 从WebScarab拦截数据中复制对应登陆请求的POST或GET消息(文本格式),将其中的口令更改一个字符
    • 在命令行中输入telnet <服务器域名或IP> <端口>,回车
    • 将修改的内容粘贴到命令行窗口中,回车
    • 判断返回的页面中是否包含“验证码错误”(或类似)的提示,如果没有,说明存在漏洞,完成测试
Smile_Mr
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
短信验证码登陆测试
08-12
短信验证码登陆(使用容联云通信)
安全测试-短信验证码
天道酬勤
05-06 1313
一次一用 发送频率控制(建议60s获取一次) 验证码有效期(建议60s内有效,发短信时进行友好提示) 复杂度(短信验证码建议6位数字) 安全提示:是否是个人自己操作等风险提示信息 在前端校验(客户端的校验只能作为辅助手段,很容易被绕过),必须使用服务端代码对输入数据进行最终校验 ...
自动化测试中6种常见验证码的处理方式
最新发布
2301_77645573的博客
05-18 643
二值化处理就是二值化图像时,将大于某个临界灰度值的像素灰度设置为灰度的极大值,把小于这个值的像素灰度设为灰度的极小值,取值范围一般为0-1;从自动化的本质上来讲,主要是提升测试效率等,但是为了去研究验证码以及提升验证码的识别效率,是需要投入比较大的时间的;UI自动化测试时,需要对验证码进行识别处理,有很多方式,每种方式都有自己的特点,以下是一些常用处理方法,仅供参考。如果验证码是彩色的背景,其实就是把每个像素放在五维空间,即X、Y、R、G、B;但是建议在测试环境使用,生产环境禁用,因为存在安全问题。
手把手教你验证码检验的登录
BASK2312的博客
03-18 1163
在网站实际应用过程中,为了防止网站登录接口被机器人轻易地使用,产生一些没有意义的用户数据,所以,采用验证码进行一定程度上的拦截,当然,我们采用的还是一个数字与字母结合的图片验证码形式,后续会讲到更加复杂的数字计算类型的图片验证码,请持续关注我的博客。
Web 攻防之业务安全验证码重复使用 || 前端JS代码实现的验证码 测试.
网络安全领域___专研者.
03-31 4277
验证码安全 概括: 验证码安全 也可以叫《全自动区分计算机和人类的图灵测试》,是一种区分用户是计算机还是人的共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水。可以有效防止黑客对某一个特定用户用特定程序暴力破解方式进行不断的登陆尝试。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用产就可以被认为是人类.
【软件测试测试点总结,收取短信验证码测试(详全),你的即用宝典......
m0_70102063的博客
12-27 7152
现在的APP,很多都需要登录注册,而注册一般要验证手机号码,就会发短信验证码,类似一个下面功能,我们会怎么考虑进行测试? 首先确定页面有哪些元素,并且明确功能、测试点等,点击手机号获取验证码是用来做什么的。首先明确和细化需求,(明确功能)验证码是手机下发的验证码,还是图片验证码等。在明确功能后先冒烟测试或通过性测试测试功能正常使用后,再进行非通过性(异常)测试。1、先进行通过性测试输入正确的手机号码,点击获取验证码,查看手机是否收到短信。收到短信后输入验证码:若为登录功能,还应检查是否进行页面跳转,是否正
SRA2021-G14-测试用例文档 V1.1.11
08-08
这有助于测试人员按照既定步骤执行测试,评估软件性能,并记录测试结果。 3. 测试描述: 测试描述部分包括了对应用功能的详细解释,以及测试这些功能的具体场景。例如,对于“登录”功能,会描述正常登录、异常...
测试用例1
08-08
10. **测试执行与记录**:每个测试用例都有对应的执行步骤、预期输出和实际结果,由特定的开发人员和测试人员执行并记录,以确保测试过程的透明度和可追溯性。 通过这些测试用例,我们可以看到软件质量控制的重要性...
SRA2021-G14-团购发起者测试用例文档 1
08-08
用例表是测试用例的概况表,用于记录测试用例的相关信息,例如测试用例编号、测试用例名称、预期结果、测试步骤等。用例表可以帮助开发团队快速地了解测试用例的概况,从而更好地进行测试。 三、测试描述 测试描述...
SRA2021-G14-测试用例文档 V0.1.31
08-08
- **验证码登录**:测试用户能否获取和正确输入验证码,以及验证验证码的有效期和安全性。 - **密码登录**:测试用户能否正确输入密码,以及处理密码遗忘、密码复杂度和尝试次数限制。 2. **找回密码**:测试用户...
SRA2021-G14-测试用例文档 V0.1.41
08-08
- **登录**:包括验证码登录和密码登录两种方式,测试用例会涵盖输入验证、成功登录、登录失败等多种情况。 - **验证码登录**:验证验证码的有效性,过期重发机制,以及输入错误的处理。 - **密码登录**:测试密码的...
短信验证码测试点整理
weixin_34212189的博客
01-10 1万+
汇总整理一些日常工作中用到点测试点,积累经验...PS:部分用例摘自网络,稍作补充 一 注册、登录或其他页面,手机短信验证码获取 验证码功能的实现可以分为三个步骤: (1)UI点击获取验证码,同步显示验证码有效时间 (2)后端获得指令后通过代理平台发送验证短信 (3)用户收到短信,在UI上提交验证码,后台做逻辑判断 功能性验证: 1⃣️手机号输入格式:区号(中国为86)+号码、号...
【简单易懂】SpringBoot-短信验证码功能测试
weixin_59997843的博客
04-16 1009
短信-三网短信-短信验证码-短信-三网短信-短信验证码-三网短信接口-短信验证码API-三网短信验证码-短信-短信验证码-短信【最新版】_最新活动_电商_API-云市场-阿里云 (aliyun.com)https://market.aliyun.com/products/57002003/cmapi00037891.html?spm=5176.2020520132.101.4.227e7218HVCmBO#sku=yuncode3189100002 然后写个测试类调用一下就行了
验证码客户端验证
03-08 1389
验证码客户端验证 众所周知,验证码是写入 _SESSION 的,而 _SESSION 是存在服务端的,所以想在客户端用 js 来验证这个验证码是有些难度的,废话就不多说了。现在开始陈述我遇到的问题,和最后解决的方法。我是在做登录模块的时候遇到的这些问题的。   一 探索的过程 刚刚开始的时候,我是用 form表单来进行数据提交的,然后给 form表单一个 onsubmit 事件: 。然后用
图文验证码怎么测试及自动化测试怎么解决验证码问题?
MXB1220的博客
06-09 1052
在对安全性有要求的软件(系统)中都存在验证码,那我们应该怎么进行测试呢,在自动化测试中又该怎么通过验证码使自动化顺利进行下去呢?首先,来简单认识下验证码测试验证码,首先我们应当了解清楚验证码是什么?其存储位置在哪里?其原理是什么?做到知己知彼。WEB自动化测试验证码处理及cookie机制_哔哩哔哩_bilibili!!我个人整理了我这几年软件测试生涯整理的一些技术资料,包含:电子书,简历模块,各种工作模板,面试宝典,自学项目等。
验证码客户端回显测试
酷狗直播-锦凡歆的博客
05-23 438
验证码客户端回显测试验证码在客户端生成而非服务器端生成时,就会造成此类问题。当客户端需要和服 务器进行交互发送验证码时,可借助浏览器的工具查看客户端与服务器进行交互的详细信 息 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 针对验证码在客户端回显的情况,建议采取如下措施来预防此类问题: (1)禁止验证码在本地客户端生成,应采用服务器端验证码生成机制; (...
Qt学习之使用QSlider设计一个滑动安全验证(拼图)
似末的博客
03-08 1675
本文为自定义一个滑动验证窗口类的介绍,避免枯燥的输入验证码,通过滑块验证,优化用户体验。通过使用QSlider设计一个滑动验证窗口,源码附效果图。
健康喝水
庸人自扰
02-09 1567
 不能等口渴时再喝水,口渴是体内轻微失水的表现。正常人每天平均耗水量为2000-2500毫升,体内物质氧化可生水300毫升,故每日应补充水分2200毫升,包括饮食中的含水量。夏天每日补充水分在3000毫升左右,才能满足人体需要。 喝水应该是白天和晚上都平均为原则,不要在单一小时内连续喝太多水。每天应该喝水的时刻是: ※喝水最佳时刻 ★早上起床后 早上起床身体可能会有些许脱水的情况,因为已经有一段时
滑块拖动验证码智能识别验证码技术(持续更新)
热门推荐
易鑫
12-29 1万+
众所周知,验证码是用来防机器的。但是,随着神经网络的发展,近几年验证码难度持续上升,这玩意儿的存在存粹就是一种负担,特别是国内到处都是的【Ji验】。本文针对“J验”及其他类似验证方式。 项目地址https://github.com/yixinNB/FuckCaptcha 判断人机原理 1.拖动 2.拖的背后 轨迹分析 首先会记录你拖动的轨迹(官方承认),根据轨迹初步判断是否为机...
软件安全测试用例-登录
08-05
10. 多因素身份验证:测试系统是否支持和正确实施多因素身份验证,如短信验证码、指纹识别等。 以上仅是一些示例,具体的测试用例应该根据具体的系统和安全要求进行定制和扩展。同时,还应该考虑其他安全测试方面,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值