4. Web安全—渗透测试用例—账户枚举/密码破解

已于 2024-03-21 09:09:29 修改
阅读量16 收藏
点赞数
分类专栏: Web安全-渗透测试 文章标签: web安全 测试用例
于 2024-03-21 09:08:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136896174
版权

0x01 等保测评项

GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4安全计算环境—身份鉴别项中要求包括:
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,并其中一种鉴别技术至少应使用密码技术来实现。
账户枚举/密码破解对应身份鉴别项中要求b),所以安全控制点为身份鉴别b

GBT 28448-2019《信息安全技术 网络安全等级保护测评要求》中,测评单元(L3-CES1-02
该测评单元包括以下要求:
a)测评指标:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
c)测评实施包括以下内容:
1)应核查是否配置并启用了登录失败处理功能&#x

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
5. Web安全渗透测试用例—越权访问测试
weixin_43567873的博客
03-21 19
5. Web安全渗透测试用例—越权访问测试
Web渗透测试用例.xlsx
01-05
包含渗透测试需要哪些项目,以及具体的测试步骤和方法。就算是小白,都能按照以上步骤做应用安全测试,包括测试网站,APP,小程序,公众号等,呕心沥血内部资料
web安全测试用例(网络资源笔记)
天在等我,菜鸟想飞
12-30 5325
信息泄漏 robots.txt泄漏敏感信息 **漏洞描述:**搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。 测试方法: 检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到robots文件; 手工挖掘,直接在域名后输
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 7764
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
安全测试用例汇总
热门推荐
回忆式~过去.的博客
09-06 1万+
渗透测试也称为黑客活动、道德黑客、白帽黑客。
7. Web安全渗透测试用例—任意用户密码重置
weixin_43567873的博客
03-21 125
7. Web安全渗透测试用例—任意用户密码重置
12. Web安全渗透测试用例—敏感信息泄漏
weixin_43567873的博客
03-21 25
12. Web安全渗透测试用例—敏感信息泄漏
渗透测试用例安全手工测试用例
06-01
提供安全手工测试用例,包括身份鉴别、登录控制、越权测试、SQL注入、跨站点脚本编制、文件上传、跨站点请求伪造等web应用安全漏洞的手工测试方法
WEB安全性测试测试用例(基础)
06-06
WEB安全性测试测试用例(基础)
安全测试-web安全-安全测试通用测试用例
04-05
需要做web安全测试人员,针对应用程序的安全,整理的通用安全测试用例,适用于bs和cs架构; 安全测试分类,安全漏洞理论知识; 实践手工及工具扫描,使用burpsuites及xray联动扫描; 帮助基础学习安全测试人员掌握...
2023最新整理渗透测试用例安全测试用例
01-28
非常全面的测试用例,包含详细的测试方法,工具使用步骤。用例涵盖口令安全、会话安全、OWAPS漏洞、日志审计、数据安全等等等等
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 640
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
了解网络安全行业内有哪些公司?
aheyor的博客
05-14 947
https://wenku.baidu.com/view/8de38c790440be1e650e52ea551810a6f424c80f?aggId=f2f58cc8e618964bcf84b9d528ea81c758f52ecc&fr=catalogMain_text_ernie_recall_feed_index%3Awk_recommend_main4&_wkts_=1715651666515&bdQuery=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85
Web安全:企业如何抵御常见的网络攻击?
m0_66326520的博客
05-16 691
针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果。虽然不可能完全消除网站攻击风险,但你至少可以缓解遭攻击的可能性和攻击后果的严重性。遭受攻击后,不仅需要及时的响应处置还需要避免同类事件的发生,因此事后的复盘分析尤为重要,做好安全防护才是最高效的网络攻击解决方案。
【网络安全】Linux 应急响应-溯源-系统日志排查知识点
最新发布
weixin_43822401的博客
05-17 323
编辑或;
【网络安全】系统日志清理的操作步骤
weixin_43822401的博客
05-16 187
如果访问了某些服务,比如说通过 apache 服务获得一个 shell,你还需要清理 apache 服务的访问日。删除登录成功记录:echo > /var/log/wtmp (此时执行 last 命令就会发现没有记录)仅本地清理,如果目标服务存在日志服务器的话,所有日志还会被保留。这里仅清理系统相关日志,3. 删除日志记录:echo > /var/log/secure。删除登录失败记录:echo > /var/log/btmp。删除系统日志目录下的一些日志文件。1. 访问失败的日志。2. 访问成功的日志。
什么是蜜罐,在当前网络安全形势下,蜜罐能提供哪些帮助
dexunyun的博客
05-16 788
要建立一个成功的蜜罐系统,需要经过详细的规划和设计,并且与专业的安全团队合作,德迅云安全会根据用户的需求和威胁情报,选择合适的蜜罐类型和部署位置。而蜜罐就是其中重要的举措,旨在提供额外的安全层。蜜罐可以记录攻击者的工具、技术和过程信息,通过分析攻击者的行为、技术和策略,可以获取关于新的攻击向量、漏洞和威胁情报的重要信息。低交互蜜罐:低交互蜜罐只模拟了系统的一部分功能,通常只包括网络服务和部分应用程序,为攻击者提供简单的交互,配置简单,容易部署,但受限于交互能力,可能无法捕获高价值的攻击。
2024年网络安全威胁
dexun123的博客
05-15 805
随着2024年的到来,数字世界的版图正在以前所未有的速度扩张,引领我们进入一个技术革新的新时代。然而,这飞速的发展同时也催生了一系列错综复杂的网络安全挑战。在这个数字平台与我们生活日益紧密交织的时代,深入了解这些新兴的威胁,并预先做好相应的准备,不仅是审慎之举,更是明智之策。这一任务已然刻不容缓。今年,网络安全领域正处在一个至关重要的转折点。我们所面对的威胁不仅在技术上日益尖端,而且在手法上也愈发狡猾和隐蔽。勒索软件对组织构成的威胁是极其严重的,其潜在影响可能是毁灭性的。
if...elseif...else语句设计测试用例
03-15
if...elseif...else语句是一种条件控制语句,用于根据不同的条件执行不同的代码块。它的设计测试用例可以从以下几个方面考虑: 1. 正常情况下的测试用例: - 测试条件为真的情况下,执行if代码块; - 测试条件为假的情况下,执行else代码块; - 测试条件为假的情况下,执行elseif代码块。 2. 多个elseif条件的测试用例: - 测试多个elseif条件,确保每个条件都能正确判断并执行相应的代码块; - 测试多个elseif条件中只有一个满足的情况下,只执行满足条件的代码块。 3. 嵌套if语句的测试用例: - 测试嵌套if语句中各个条件的组合情况,确保每个条件都能正确判断并执行相应的代码块。 4. 边界情况的测试用例: - 测试条件为边界值的情况,例如测试等于、大于、小于等边界值的情况; - 测试多个elseif条件中存在相同边界值的情况,确保只执行第一个满足条件的代码块。 5. 异常情况的测试用例: - 测试条件为null或undefined的情况,确保能正确处理异常情况; - 测试条件为非布尔类型的情况,确保能正确处理非布尔类型的条件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值