验证码测试
编号 | Web _01 |
测试用例名称 | 验证码测试 |
测试目的 | 查看是否有验证码机制,以及验证码机制是否完善 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 不存在上述漏洞 |
备注 | 本用例根据最严格的方式对目标进行测试,如果产品线对安全的要求不高且有自身的安全策略规定时,可以视情况对测试项进行部分测试 |
测试结果 |
认证错误提示
编号 | Web_ 02 |
测试用例名称 | 认证错误提示 |
测试目的 | 为了进行暴力破解,攻击者需要知道已存在的用户名,再对该用户名进行攻击。所以,本测试用于确认目标服务器在处理登陆操作时会提示出具体的信息。 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 服务器不会针对认证错误的情况提示准确的信息。 |
备注 | |
测试结果 |
锁定策略测试
编号 | Web _03 |
测试用例名称 | 锁定策略测试 |
测试目的 | 在缺少锁定策略和验证码设计有问题的情况下,攻击者可以通过枚举的方式来进行暴力猜解。本测试用于发现目标系统是否缺少锁定策略。 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 目标系统提示“帐号已锁定”或者“IP已锁定”或者类似“锁定”等之类的信息。 |
备注 | 第6步中重复步骤次数视各产品实际情况而定。 另外,如果系统存在一些认证接口(带认证参数的URL,不是普通登陆页面),那么也需要对认证接口进行失败认证尝试,以测试其锁定策略。 |
测试结果 |
认证绕过测试
编号 | Web _04 |
测试用例名称 | 认证绕过测试 |
测试目的 | 发现目标认证系统是否存在绕过的可能 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 不能够成功登陆。 |
备注 | 如果目标系统采用javascript限制了输入格式,可以通过WebScarab来进行修改。关于WebScarab的使用说明,请参看相关帮助文档。 |
测试结果 |
修复密码测试
编号 | Web_ 05 |
测试用例名称 | 修改密码测试 |
测试目的 | 如果修改密码功能存在着缺陷,攻击者可以通过此其缺陷修改其他用户的密码。 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 用户修改密码时必须提供旧密码,普通用户无法修改其他用户的密码。 |
备注 | 如果初始口令为系统提供的默认口令、或者是由管理员设定时,则在用户/操作员使用初始口令成功登录后,系统必须强制用户/操作员更改初始口令,直至更改成功,否则是漏洞。 |
测试结果 |
不安全的数据传输
编号 | Web _06-01 |
测试用例名称 | 登陆过程信息机密性保护 |
测试目的 | 测试Web程序在处理登录过程中用户名和口令的传输是否采用了加密传输的机制。 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 | |
预期结果 | 用户名和密码信息采用HTTPS传输。 |
备注 | |
测试结果 |
强口令策略测试
编号 | Web_ 07 |
测试用例名称 | 强口令策略测试 |
测试目的 | 本测试为检查目标系统是否存在强口令策略。 |
用例级别 | 二级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 目标系统存在满足上述步骤的较严格的口令复杂度策略。 |
备注 | 上面只是举例说明口令复杂度的测试,实际上强口令策略还包括口令有效期、历史口令等,这些都要测试。 对于一些Web应用密码只能是数字组成,则不强制要求强口令。 Web应用安全开发规范中的强口令策略: 1.口令长度的取值范围为:0-32 个字符;口令的最短长度和最长长度可配置;口令的最短长度建议默认为6个字符。 2.口令中至少需要包括一个大写字母(A-Z)、一个小写字母(a-z)、一个数字字符(0-9);口令是否包含特殊字符要求可以配置。 3.口令中允许同一字符连续出现的最大次数可配置,取值范围:0-9,当取值为 0 时,表示无限制,建议默认为 3。 4.口令须设置有效期,最短有效期的取值范围:0-9999 分钟,当取值为0时,表示不做限制,建议默认:5 分钟;最长有效期的取值范围:0-999 天,当取值为 0 时,表示口令永久有效,建议默认:90 天。 5.在口令到期前,当用户登录时系统须进行提示,提前提示的天数可配置,取值范围:1-99 天,建议默认:7 天。 6.口令到达最长有效期后,用户再次登录成功但在进入系统前,系统强制更改口令,直至更改成功。 7:口令历史记录数可配置,取值范围为:0-30;建议默认:3个。 8:管理员/操作员/最终用户修改自己的口令时,必须提供旧口令。 9:初始口令为系统提供的默认口令、或者是由管理员设定时,则在用户/操作员使用初始口令成功登录后,要强制用户/操作员更改初始口令,直至更改成功。 10:口令不能以明文的形式在界面上显示。 11:口令不能以明文的形式保存,须加密保存;口令与用户名关联加密,即加密前的数据不仅包括口令,还包括用户名。 12:只有当用户通过认证之后才可以修改口令。 13:修改口令的帐号只能从服务器端的会话信息中获取,而不能由客户端指定。 建议3.2.1.1:实现弱口令词典功能。 |
测试结果 |