版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、测试内容:用户模块安全测试使用工具:WebScarab测试人员:测试用例编号 测试模块测试内容操作1用户登录登录密码复杂度1:进入论坛2:进行新用户注册3:输入新用户注册密码2失败登录限制是否拥有1.进入论坛2.进行登录3.输入错误的密码3验证码4登录失败处理功能1.进入论坛2.进行登录3.输入错误的密码或错误用户名5有效和无效用户名和密码1:进入论坛2:输入有效的用户名3:输入无效的密码61:进入论坛2:输入无效的用户名3:输入有效的密码71:进入论坛2:输入:有效效的用户名3:输入有效的密码8密码自动完成 9安全性问题用户的个人资料 使用自动化工具appscan进行缺省值常规
2、扫描1012wwee 使用自动化工具appscan进行缺省值常规扫描11Discuzl 使用自动化工具appscan进行缺省值常规扫描12Index of 使用自动化工具appscan进行缺省值常规扫描13wrp的个人资料 使用自动化工具appscan进行缺省值常规扫描14登陆 使用自动化工具appscan进行缺省值常规扫描15登陆管理员中心 使用自动化工具appscan进行缺省值常规扫描16立即注册 使用自动化工具appscan进行缺省值常规扫描17论坛 使用自动化工具appscan进行缺省值常规扫描18门户 使用自动化工具appscan进行缺省值常规扫描19默认板块 使用自动化工具apps
3、can进行缺省值常规扫描20搜索 使用自动化工具appscan进行缺省值常规扫描21提示信息 使用自动化工具appscan进行缺省值常规扫描 安全性问题22输入验证应用程序是否易受SQL注入攻击1.输入论坛网址2.登录管理员账号2.在网址后添加“and1=1”23应用程序是否易受XSS攻击1.进入论坛2.在搜索框内输入 24身份验证区分公共访问和受限访问1.进入论坛2.登录管理员账号3.任意选择“我的”、“设置”、“消息”、“提醒”之一4.任意选择“门户管理”、“管理中心”之一5.观察网页的响应25验证调用者身份1.进入论坛2.登录管理员账号3.任意选择“门户管理”、“管理中心”之一 26加密
4、在加密通道上传递密码1.设置代理:地址 端口80082.打开WebScarab3.进入论坛,登录管理员账号4.查看WebScarab的请求数据27审核和日志记录是否明确了要审核的活动1.进入论坛2.登录管理员账号3.进入“管理中心”4.查看要审核的活动28管理员登陆有效和无效的用户名和密码1.进入论坛2.输入有效用户名3.输入无效密码4.点击登录291.进入论坛2.输入无效用户名3.输入有效密码4.点击登录301.进入论坛2.输入无效用户名3.输入无效密码4.点击登录311.进入论坛2.输入有效用户名3.输入有效密码4.点击登录32大小写敏感1.进入论坛2.输入用户名3.输入
5、密码4.点击登录33可以尝试次数的限制1.进入论坛2.输入用户名3.输入密码4.点击登录34在线超时Web应用系统是否有超时的限制1.进入论坛2.登录管理员账号3.不在此网页做任何动作351.进入论坛2.登录管理员账号3.进入“管理中心”3.不在此网页做任何动作管理员登陆有效和无效的用户名和密码输入项预期结果实际测试结果P/F1:用户名:12342:密码:1234567893:确认密码:1234567894:邮箱:显示密码强弱程度显示密码强弱程度P 1:用户名:12342:密码:12345678会限制登录次数,和超过尝试次数后限制下次登陆时间密码错误后限制输入密码次数为2,下次登陆时间为15分
6、钟后P无输入验证码F1:用户名:12342:密码:12345678失败登录后无详细提示是用户名错误还是密码错误失败登录后无详细提示是用户名错误还是密码错误,提示还可尝试两次P1:用户名:12342:密码:12345678 提示登陆失败提示登陆失败P1:用户名:123452:密码:123456789提示登陆失败提示登陆失败P1:用户名:12342:密码:123456789 登陆成功登陆成功P无密码自动完成P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题3个目录列表问题和五个Apache Multiviews攻击问题F无安全性问题无安全性问题P 无安全性
7、问题无安全性问题P 无安全性问题2个解密的登陆请求问题 F 无安全性问题无安全性问题P 无安全性问题1个目录列表问题、2个Apache Multiviews攻击问题、2个Robots.txt文件Web站点结构暴露问题、1个检测到隐藏目录问题和1个直接访问管理员页面问题F 无安全性问题无安全性问题P 无安全性问题无安全性问题P 无安全性问题无安全性问题P 无安全性问题2个已解密的登陆请求F网址:0:8082/Discuz/forum.php and 1=1网页提示“object notfound!”不能进行SQL注入网页提示“object notfound!”
8、不能进行SQL注入P搜索框内输入不易受XSS攻击搜索,搜索框内出现“ lt;”tiehua gt;”易受XSS攻击F 用户名:admin密码:123456“我的”、“设置”、“消息”、“提醒”不用再次输入密码“门户管理”、“管理中心”需要再次输入密码区分公共访问与授权访问“我的”、“设置”、“消息”、“提醒”不用再次输入密码“门户管理”、“管理中心”需要再次输入密码区分公共访问与授权访问P用户名:admin密码:123456需要再次输入密码还可加入问题验证需要再次输入密码还可加入问题验证P代理地址:端口号:8008用户名:admin密码:123456请求中出现数据:http:
9、/0:8082/Discuz/member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1可知为严重漏洞,可绕过登陆验证码测试弱口令F用户名:admin密码:123456明确了要审核的活动种类明确了要审核的活动种类P用户名:admin密码:134567提示“登录失败,还可以尝试4次”提示“登录失败,还可以尝试4次”P用户名:amidn密码:123456提示“登录失败,还可以尝试3次”提示“登录失败,还可以尝试3次”P用户名:amidn密码:134567提示“登录失败,还可以尝试2次”提示“登录失败,还可以尝试2次”P用户名:admin密码:123456登陆成功,登录到管理员界面登陆成功,登录到管理员界面P用户名:“ADMIN”或“AdMin”密码:123456登陆成功,登录到管理员界
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度离婚协议范本宝典:详实解读婚姻财产分割与子女抚养协议2篇
- 2024年版软件开发及维护合同协议
- 2024年度机械设备搬运服务合同2篇
- 2024年度橱柜定制与环保材料采购合同3篇
- 2024版二手房买卖补充协议模板(全新)2篇
- 2023年舟山市定海旅游发展集团有限公司招聘笔试真题
- 2024年度茶林租赁及茶叶生产销售合同3篇
- 2024年狗咬伤纠纷解决协议3篇
- 2024年度消费信贷担保合同类型及消费者权益保护3篇
- 2024版带私家花园的住宅租赁与设施配套合同2篇
- 期中模拟练习(试题)-2024-2025学年统编版语文二年级上册
- 人教版九年级历史下册第10课-《凡尔赛条约》和《九国公约》(共31张课件)
- 2023年法律职业资格《客观题卷一》真题及答案
- 教科版 三年级上册科学知识点归纳梳理
- 2024年初级经济师考试经济基础知识真题及答案
- 2024年人教版七年级英语(上册)期末考卷及答案(各版本)
- 2024年执法资格考试考前预测卷(附答案)
- 部编版道德与法治二年级上册全册教案
- 农村民兵连指导员述职报告范本
- 2024年农业学:农村农业基础知识考试题库(附含答案)
- 六盘水事业单位笔试真题及答案2024
评论
0/150
提交评论