浅谈登录的安全性测试 [ 光影人像 东海陈光剑 的博客 ]

    随着Internet的飞速发展，人们的工作和日常生活已离不开internet，比如网上购物，网上支付等。正所谓道高一尺魔高一丈，与之一同发展起来的web安全性问题，每天都在发生的黑客入侵及篡改网页，帐号窃取等问题越来越引起了人们的关注，因为随着Web内容的增加、应用程序功能的丰富和用户的普及，安全问题已经不容忽视。今天我就和大家探讨下网站登录的安全性测试。
    用户登录最重要的两个元素无非用户名和密码，当然用户名黑客一般是很容易得到的，对于密码则要下一定的功夫。密码的安全性是整个安全性的一个重要环节，如果个人密码遭到黑客破解，将引起非常严重的后果，我们在测试的过程如果忽视对密码的安全性的校验就很容易让黑客得手。首先 用户登录时输入的密码是否可见，是否可复制，一般程序员都需对密码输入的webedit设置成隐码显示，复制后变成乱码。如果不进行该处理将是十分危险，不过我相信一般有一定安全常识的程序员都这么做，哈哈；其次 密码长度和复杂度需要进行安全性校验，如果密码过于简单则黑客得到用户名后使用暴力穷举破解很容易得手，预防暴力破解还要加上checkcode双重保险。再看密码的传输是否为明文，用httpwatch或Sniffer查看登录的请求数据，其中password是否明文显示，如果是明文将十分危险，黑客一旦将数据截获将相当危险；最后一招防守则是防止黑客惯用的恶意代码注入，我们测试的过程中在校验请求的url是否对script进行过滤，如果没有过滤，黑客构造含有恶意代码的url，用户访问后它就会在用户本地做爱爱做的事啦:)。

测试，安全

我们从来只做一件事,分享.
让美在这个世界流转
让倍感无趣的 受伤的 彷徨的 孤独的 或是心情忧郁的 人生黯淡的人们
能有一次机会
去再一次发现这个世界的美
并把美传递给他人
---光影人像(Follow WeChat public number with interest)