论坛安全测试用例

1、测试内容：用户模块安全测试使用工具：WebScarab测试人员：测试用例编号 测试模块测试内容操作1用户登录登录密码复杂度1：进入论坛2：进行新用户注册3：输入新用户注册密码2失败登录限制是否拥有1.进入论坛2.进行登录3.输入错误的密码3验证码4登录失败处理功能1.进入论坛2.进行登录3.输入错误的密码或错误用户名5有效和无效用户名和密码1：进入论坛2：输入有效的用户名3：输入无效的密码61：进入论坛2：输入无效的用户名3：输入有效的密码71：进入论坛2：输入:有效效的用户名3：输入有效的密码8密码自动完成 9安全性问题用户的个人资料 使用自动化工具appscan进行缺省值常规

2、扫描1012wwee 使用自动化工具appscan进行缺省值常规扫描11Discuzl 使用自动化工具appscan进行缺省值常规扫描12Index of 使用自动化工具appscan进行缺省值常规扫描13wrp的个人资料 使用自动化工具appscan进行缺省值常规扫描14登陆 使用自动化工具appscan进行缺省值常规扫描15登陆管理员中心 使用自动化工具appscan进行缺省值常规扫描16立即注册 使用自动化工具appscan进行缺省值常规扫描17论坛 使用自动化工具appscan进行缺省值常规扫描18门户 使用自动化工具appscan进行缺省值常规扫描19默认板块 使用自动化工具apps

3、can进行缺省值常规扫描20搜索 使用自动化工具appscan进行缺省值常规扫描21提示信息 使用自动化工具appscan进行缺省值常规扫描 安全性问题22输入验证应用程序是否易受SQL注入攻击1.输入论坛网址2.登录管理员账号2.在网址后添加“and1=1”23应用程序是否易受XSS攻击1.进入论坛2.在搜索框内输入 24身份验证区分公共访问和受限访问1.进入论坛2.登录管理员账号3.任意选择“我的”、“设置”、“消息”、“提醒”之一4.任意选择“门户管理”、“管理中心”之一5.观察网页的响应25验证调用者身份1.进入论坛2.登录管理员账号3.任意选择“门户管理”、“管理中心”之一 26加密

4、在加密通道上传递密码1.设置代理：地址 端口80082.打开WebScarab3.进入论坛，登录管理员账号4.查看WebScarab的请求数据27审核和日志记录是否明确了要审核的活动1.进入论坛2.登录管理员账号3.进入“管理中心”4.查看要审核的活动28管理员登陆有效和无效的用户名和密码1.进入论坛2.输入有效用户名3.输入无效密码4.点击登录291.进入论坛2.输入无效用户名3.输入有效密码4.点击登录301.进入论坛2.输入无效用户名3.输入无效密码4.点击登录311.进入论坛2.输入有效用户名3.输入有效密码4.点击登录32大小写敏感1.进入论坛2.输入用户名3.输入

5、密码4.点击登录33可以尝试次数的限制1.进入论坛2.输入用户名3.输入密码4.点击登录34在线超时Web应用系统是否有超时的限制1.进入论坛2.登录管理员账号3.不在此网页做任何动作351.进入论坛2.登录管理员账号3.进入“管理中心”3.不在此网页做任何动作管理员登陆有效和无效的用户名和密码输入项预期结果实际测试结果P/F1：用户名：12342：密码：1234567893：确认密码：1234567894：邮箱：显示密码强弱程度显示密码强弱程度P 1：用户名：12342：密码：12345678会限制登录次数，和超过尝试次数后限制下次登陆时间密码错误后限制输入密码次数为2，下次登陆时间为15分

6、钟后P无输入验证码F1：用户名：12342：密码：12345678失败登录后无详细提示是用户名错误还是密码错误失败登录后无详细提示是用户名错误还是密码错误，提示还可尝试两次P1：用户名：12342：密码：12345678 提示登陆失败提示登陆失败P1：用户名：123452：密码：123456789提示登陆失败提示登陆失败P1：用户名：12342：密码：123456789 登陆成功登陆成功P无密码自动完成P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题3个目录列表问题和五个Apache Multiviews攻击问题F无安全性问题无安全性问题P 无安全性

7、问题无安全性问题P 无安全性问题2个解密的登陆请求问题 F 无安全性问题无安全性问题P 无安全性问题1个目录列表问题、2个Apache Multiviews攻击问题、2个Robots.txt文件Web站点结构暴露问题、1个检测到隐藏目录问题和1个直接访问管理员页面问题F 无安全性问题无安全性问题P 无安全性问题无安全性问题P 无安全性问题无安全性问题P 无安全性问题2个已解密的登陆请求F网址：0:8082/Discuz/forum.php and 1=1网页提示“object notfound!”不能进行SQL注入网页提示“object notfound!”

8、不能进行SQL注入P搜索框内输入不易受XSS攻击搜索，搜索框内出现“ lt;”tiehua gt;”易受XSS攻击F 用户名:admin密码：123456“我的”、“设置”、“消息”、“提醒”不用再次输入密码“门户管理”、“管理中心”需要再次输入密码区分公共访问与授权访问“我的”、“设置”、“消息”、“提醒”不用再次输入密码“门户管理”、“管理中心”需要再次输入密码区分公共访问与授权访问P用户名:admin密码：123456需要再次输入密码还可加入问题验证需要再次输入密码还可加入问题验证P代理地址：端口号：8008用户名：admin密码：123456请求中出现数据：http:

9、/0:8082/Discuz/member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1可知为严重漏洞，可绕过登陆验证码测试弱口令F用户名:admin密码：123456明确了要审核的活动种类明确了要审核的活动种类P用户名:admin密码：134567提示“登录失败，还可以尝试4次”提示“登录失败，还可以尝试4次”P用户名:amidn密码：123456提示“登录失败，还可以尝试3次”提示“登录失败，还可以尝试3次”P用户名:amidn密码：134567提示“登录失败，还可以尝试2次”提示“登录失败，还可以尝试2次”P用户名:admin密码：123456登陆成功，登录到管理员界面登陆成功，登录到管理员界面P用户名:“ADMIN”或“AdMin”密码：123456登陆成功，登录到管理员界