等保2.0测评--应用系统

应用系统有B/S与C/S之分，两者的概念。

B/S架构（Browser/Server架构）：是一种基于浏览器和服务器的系统架构。

C/S架构（Client/Server架构）：是一种基于客户端和服务器的系统架构。

如果应用系统区分前台与后台，那么在测评的时候均需要列为测评对象。

一、身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

1. 身份标识鉴别和

1) 前台

通过用户名+口令的方式

2) 后台 

用户名+口令

2. 身份标识唯一性

该条一般可登录后台进行验证（注意：带有修改属性的操作均需要经配合人员允许，并让其进行操作）

网站管理 → 后台用户 → 添加用户

尝试使用相同的用户名尝试添加，查看是否能创建成功

前台用户也一样  会员管理 → 会员管理 → 添加会员

3. 身份鉴别信息具有复杂度

这个一般先去后台查看是否有"系统管理"类似名字的菜单栏，查看是否有密码复杂度设置功能

像我们安装的这个系统就没有相应的密码复杂度校验功能，一般就只能通过新建账户的方式来确认系统是否有强制要求

经测试该系统仅要求5-16位字符

4. 身份鉴别信息定期更换

这个鉴别信息定期更换功能，一般系统中不会做这种功能，会影响用户体验。询问管理人员是否定期更换口令，是否有对应的强制策略或者日志记录作为证据。

例如该系统用户口令修改后，日志中仅记录了url参数，并无详细内容说明口令更改。

只要在编辑用户栏这修改数据，都会被日志记录，但未记录具体操作。

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

1. 登录失败处理功能

首先查看后台管理中是否带有登录失败处理功能的设置选项，如果没有，建议使用测试账户进行测试，尝试10次登录否是否会被锁定。（注意：带有修改属性的操作均需要经配合人员允许，并让其进行操作）

例如该系统无直接配置登录失败处理功能的设置选项，但经测试，连续登录失败5次后会锁定整个后台，锁定时间为1天。

当然如果能联系到写代码的开发人员，询问一下对方设置登录失败处理功能的代码在哪，截图查看是最可信有力的证据，例如这里的配置文件在 data/config/config.php

如果后台被锁了，就将5的数值调大一些。它这个系统判定的有点怪，居然是所整个后台，而不是锁定对应帐号。

2. 操作超时自动退出功能

这个一般在应用系统中没有直观的设置，并且大多系统也不会做这个操作超时自动退出限制。例如我们平常登录的一些常用网站，比如购物、影视网站等，如果过一会就要求你重新登录验证，那肯定也会影响用户体验。

所以这条建议能找开发要相应参数的，叫他截图取证，如果没有的话可自行尝试挂机不操作30分钟后，刷新网页看是否会要求重新进行身份鉴别。

● 扩展学习

1. 利用Burp进行暴力破解

未经允许，切勿在任意网站进行渗透测试

首先设置代理，默认是8080最好改一下避免冲突

火狐浏览器设置代理

端口改，其它基本默认