应用系统有B/S与C/S之分,两者的概念。
B/S架构(Browser/Server架构):是一种基于浏览器和服务器的系统架构。
C/S架构(Client/Server架构):是一种基于客户端和服务器的系统架构。
如果应用系统区分前台与后台,那么在测评的时候均需要列为测评对象。
一、身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1. 身份标识鉴别和
1) 前台
通过用户名+口令的方式
2) 后台
用户名+口令
2. 身份标识唯一性
该条一般可登录后台进行验证(注意:带有修改属性的操作均需要经配合人员允许,并让其进行操作)
网站管理 → 后台用户 → 添加用户
尝试使用相同的用户名尝试添加,查看是否能创建成功
前台用户也一样 会员管理 → 会员管理 → 添加会员
3. 身份鉴别信息具有复杂度
这个一般先去后台查看是否有"系统管理"类似名字的菜单栏,查看是否有密码复杂度设置功能
像我们安装的这个系统就没有相应的密码复杂度校验功能,一般就只能通过新建账户的方式来确认系统是否有强制要求
经测试该系统仅要求5-16位字符
4. 身份鉴别信息定期更换
这个鉴别信息定期更换功能,一般系统中不会做这种功能,会影响用户体验。询问管理人员是否定期更换口令,是否有对应的强制策略或者日志记录作为证据。
例如该系统用户口令修改后,日志中仅记录了url参数,并无详细内容说明口令更改。
只要在编辑用户栏这修改数据,都会被日志记录,但未记录具体操作。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
-
登录失败处理功能
首先查看后台管理中是否带有登录失败处理功能的设置选项,如果没有,建议使用测试账户进行测试,尝试10次登录否是否会被锁定。(注意:带有修改属性的操作均需要经配合人员允许,并让其进行操作)
例如该系统无直接配置登录失败处理功能的设置选项,但经测试,连续登录失败5次后会锁定整个后台,锁定时间为1天。
当然如果能联系到写代码的开发人员,询问一下对方设置登录失败处理功能的代码在哪,截图查看是最可信有力的证据,例如这里的配置文件在 data/config/config.php
如果后台被锁了,就将5的数值调大一些。它这个系统判定的有点怪,居然是所整个后台,而不是锁定对应帐号。
2. 操作超时自动退出功能
这个一般在应用系统中没有直观的设置,并且大多系统也不会做这个操作超时自动退出限制。例如我们平常登录的一些常用网站,比如购物、影视网站等,如果过一会就要求你重新登录验证,那肯定也会影响用户体验。
所以这条建议能找开发要相应参数的,叫他截图取证,如果没有的话可自行尝试挂机不操作30分钟后,刷新网页看是否会要求重新进行身份鉴别。
● 扩展学习
1. 利用Burp进行暴力破解
未经允许,切勿在任意网站进行渗透测试
首先设置代理,默认是8080最好改一下避免冲突
火狐浏览器设置代理
端口改,其它基本默认