浅谈登录的安全性测试 [ 光影人像 东海陈光剑 的博客 ]
2015-01-26 20:13
549 查看
随着Internet的飞速发展,人们的工作和日常生活已离不开internet,比如网上购物,网上支付等。正所谓道高一尺魔高一丈,与之一同发展起来的web安全性问题,每天都在发生的黑客入侵及篡改网页,帐号窃取等问题越来越引起了人们的关注,因为随着Web内容的增加、应用程序功能的丰富和用户的普及,安全问题已经不容忽视。今天我就和大家探讨下网站登录的安全性测试。
用户登录最重要的两个元素无非用户名和密码,当然用户名黑客一般是很容易得到的,对于密码则要下一定的功夫。密码的安全性是整个安全性的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果,我们在测试的过程如果忽视对密码的安全性的校验就很容易让黑客得手。首先 用户登录时输入的密码是否可见,是否可复制,一般程序员都需对密码输入的webedit设置成隐码显示,复制后变成乱码。如果不进行该处理将是十分危险,不过我相信一般有一定安全常识的程序员都这么做,哈哈;其次 密码长度和复杂度需要进行安全性校验,如果密码过于简单则黑客得到用户名后使用暴力穷举破解很容易得手,预防暴力破解还要加上checkcode双重保险。再看密码的传输是否为明文,用httpwatch或Sniffer查看登录的请求数据,其中password是否明文显示,如果是明文将十分危险,黑客一旦将数据截获将相当危险;最后一招防守则是防止黑客惯用的恶意代码注入,我们测试的过程中在校验请求的url是否对script进行过滤,如果没有过滤,黑客构造含有恶意代码的url,用户访问后它就会在用户本地做爱爱做的事啦:)。
测试,安全
我们从来只做一件事,分享.
让美在这个世界流转
让倍感无趣的 受伤的 彷徨的 孤独的 或是心情忧郁的 人生黯淡的人们
能有一次机会
去再一次发现这个世界的美
并把美传递给他人
---光影人像(Follow WeChat public number with interest)
用户登录最重要的两个元素无非用户名和密码,当然用户名黑客一般是很容易得到的,对于密码则要下一定的功夫。密码的安全性是整个安全性的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果,我们在测试的过程如果忽视对密码的安全性的校验就很容易让黑客得手。首先 用户登录时输入的密码是否可见,是否可复制,一般程序员都需对密码输入的webedit设置成隐码显示,复制后变成乱码。如果不进行该处理将是十分危险,不过我相信一般有一定安全常识的程序员都这么做,哈哈;其次 密码长度和复杂度需要进行安全性校验,如果密码过于简单则黑客得到用户名后使用暴力穷举破解很容易得手,预防暴力破解还要加上checkcode双重保险。再看密码的传输是否为明文,用httpwatch或Sniffer查看登录的请求数据,其中password是否明文显示,如果是明文将十分危险,黑客一旦将数据截获将相当危险;最后一招防守则是防止黑客惯用的恶意代码注入,我们测试的过程中在校验请求的url是否对script进行过滤,如果没有过滤,黑客构造含有恶意代码的url,用户访问后它就会在用户本地做爱爱做的事啦:)。
测试,安全
我们从来只做一件事,分享.
让美在这个世界流转
让倍感无趣的 受伤的 彷徨的 孤独的 或是心情忧郁的 人生黯淡的人们
能有一次机会
去再一次发现这个世界的美
并把美传递给他人
---光影人像(Follow WeChat public number with interest)
相关文章推荐
- 浅谈测试数据准备 [ 光影人像 东海陈光剑 的博客 ]
- 浅谈Eclipse+Maven+SubVersion+CruiseControl的团队开发测试 [ 光影人像 东海陈光剑 的博客 ]
- 天彤在分享接口测试及测试数据 [ 光影人像 东海陈光剑 的博客 ]
- 测试界的牛人 [ 光影人像 东海陈光剑 的博客 ]
- 如何做数据迁移项目的测试?--(展望篇) [ 光影人像 东海陈光剑 的博客 ]
- 测试人员与开发经验 [ 光影人像 东海陈光剑 的博客 ]
- 浅谈功能测试各阶段的作用 [ 光影人像 东海陈光剑 的博客 ]
- 读牛柳“从开发到测试”有感 [ 光影人像 东海陈光剑 的博客 ]
- 浅谈习惯性思维 [ 光影人像 东海陈光剑 的博客 ]
- 其他公司测试过程中的优点 [ 光影人像 东海陈光剑 的博客 ]
- 软件测试的革命(转) [ 光影人像 东海陈光剑 的博客 ]
- 测试一个面向对象的应用(摘要) [ 光影人像 东海陈光剑 的博客 ]
- 论测试工程师的责任心 [ 光影人像 东海陈光剑 的博客 ]
- 接口测试方法及测试数据准备分享讨论 [ 光影人像 东海陈光剑 的博客 ]
- 也谈测试数据 [ 光影人像 东海陈光剑 的博客 ]
- 用户体验测试之我见 [ 光影人像 东海陈光剑 的博客 ]
- 软件测试的起源 [ 光影人像 东海陈光剑 的博客 ]
- 测试VS开发 [ 光影人像 东海陈光剑 的博客 ]
- 一种比较有效的测试和开发的配合方式 [ 光影人像 东海陈光剑 的博客 ]
- 为什么要在性能测试中设置考虑时间(Thinking Time) [ 光影人像 东海陈光剑 的博客 ]