版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、测试内容:用户模块安全测试使用工具:WebScarab测试人员:测试用例编号 测试模块测试内容操作1用户登录登录密码复杂度1:进入论坛2:进行新用户注册3:输入新用户注册密码2失败登录限制是否拥有1.进入论坛2.进行登录3.输入错误的密码3验证码4登录失败处理功能1.进入论坛2.进行登录3.输入错误的密码或错误用户名5有效和无效用户名和密码1:进入论坛2:输入有效的用户名3:输入无效的密码61:进入论坛2:输入无效的用户名3:输入有效的密码71:进入论坛2:输入:有效效的用户名3:输入有效的密码8密码自动完成 9安全性问题用户的个人资料 使用自动化工具appscan进行缺省值常规
2、扫描1012wwee 使用自动化工具appscan进行缺省值常规扫描11Discuzl 使用自动化工具appscan进行缺省值常规扫描12Index of 使用自动化工具appscan进行缺省值常规扫描13wrp的个人资料 使用自动化工具appscan进行缺省值常规扫描14登陆 使用自动化工具appscan进行缺省值常规扫描15登陆管理员中心 使用自动化工具appscan进行缺省值常规扫描16立即注册 使用自动化工具appscan进行缺省值常规扫描17论坛 使用自动化工具appscan进行缺省值常规扫描18门户 使用自动化工具appscan进行缺省值常规扫描19默认板块 使用自动化工具apps
3、can进行缺省值常规扫描20搜索 使用自动化工具appscan进行缺省值常规扫描21提示信息 使用自动化工具appscan进行缺省值常规扫描 安全性问题22输入验证应用程序是否易受SQL注入攻击1.输入论坛网址2.登录管理员账号2.在网址后添加“and1=1”23应用程序是否易受XSS攻击1.进入论坛2.在搜索框内输入 24身份验证区分公共访问和受限访问1.进入论坛2.登录管理员账号3.任意选择“我的”、“设置”、“消息”、“提醒”之一4.任意选择“门户管理”、“管理中心”之一5.观察网页的响应25验证调用者身份1.进入论坛2.登录管理员账号3.任意选择“门户管理”、“管理中心”之一 26加密
4、在加密通道上传递密码1.设置代理:地址 端口80082.打开WebScarab3.进入论坛,登录管理员账号4.查看WebScarab的请求数据27审核和日志记录是否明确了要审核的活动1.进入论坛2.登录管理员账号3.进入“管理中心”4.查看要审核的活动28管理员登陆有效和无效的用户名和密码1.进入论坛2.输入有效用户名3.输入无效密码4.点击登录291.进入论坛2.输入无效用户名3.输入有效密码4.点击登录301.进入论坛2.输入无效用户名3.输入无效密码4.点击登录311.进入论坛2.输入有效用户名3.输入有效密码4.点击登录32大小写敏感1.进入论坛2.输入用户名3.输入
5、密码4.点击登录33可以尝试次数的限制1.进入论坛2.输入用户名3.输入密码4.点击登录34在线超时Web应用系统是否有超时的限制1.进入论坛2.登录管理员账号3.不在此网页做任何动作351.进入论坛2.登录管理员账号3.进入“管理中心”3.不在此网页做任何动作管理员登陆有效和无效的用户名和密码输入项预期结果实际测试结果P/F1:用户名:12342:密码:1234567893:确认密码:1234567894:邮箱:显示密码强弱程度显示密码强弱程度P 1:用户名:12342:密码:12345678会限制登录次数,和超过尝试次数后限制下次登陆时间密码错误后限制输入密码次数为2,下次登陆时间为15分
6、钟后P无输入验证码F1:用户名:12342:密码:12345678失败登录后无详细提示是用户名错误还是密码错误失败登录后无详细提示是用户名错误还是密码错误,提示还可尝试两次P1:用户名:12342:密码:12345678 提示登陆失败提示登陆失败P1:用户名:123452:密码:123456789提示登陆失败提示登陆失败P1:用户名:12342:密码:123456789 登陆成功登陆成功P无密码自动完成P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题3个目录列表问题和五个Apache Multiviews攻击问题F无安全性问题无安全性问题P 无安全性
7、问题无安全性问题P 无安全性问题2个解密的登陆请求问题 F 无安全性问题无安全性问题P 无安全性问题1个目录列表问题、2个Apache Multiviews攻击问题、2个Robots.txt文件Web站点结构暴露问题、1个检测到隐藏目录问题和1个直接访问管理员页面问题F 无安全性问题无安全性问题P 无安全性问题无安全性问题P 无安全性问题无安全性问题P 无安全性问题2个已解密的登陆请求F网址:0:8082/Discuz/forum.php and 1=1网页提示“object notfound!”不能进行SQL注入网页提示“object notfound!”
8、不能进行SQL注入P搜索框内输入不易受XSS攻击搜索,搜索框内出现“ lt;”tiehua gt;”易受XSS攻击F 用户名:admin密码:123456“我的”、“设置”、“消息”、“提醒”不用再次输入密码“门户管理”、“管理中心”需要再次输入密码区分公共访问与授权访问“我的”、“设置”、“消息”、“提醒”不用再次输入密码“门户管理”、“管理中心”需要再次输入密码区分公共访问与授权访问P用户名:admin密码:123456需要再次输入密码还可加入问题验证需要再次输入密码还可加入问题验证P代理地址:端口号:8008用户名:admin密码:123456请求中出现数据:http:
9、/0:8082/Discuz/member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1可知为严重漏洞,可绕过登陆验证码测试弱口令F用户名:admin密码:123456明确了要审核的活动种类明确了要审核的活动种类P用户名:admin密码:134567提示“登录失败,还可以尝试4次”提示“登录失败,还可以尝试4次”P用户名:amidn密码:123456提示“登录失败,还可以尝试3次”提示“登录失败,还可以尝试3次”P用户名:amidn密码:134567提示“登录失败,还可以尝试2次”提示“登录失败,还可以尝试2次”P用户名:admin密码:123456登陆成功,登录到管理员界面登陆成功,登录到管理员界面P用户名:“ADMIN”或“AdMin”密码:123456登陆成功,登录到管理员界
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 教资作文素材万能2021教资考试作文素材积累
- 时间戳服务器
- 河南省周口市沈丘县县直小学等校2023-2024学年二年级上学期月考数学试卷(12月份)
- 2.2 算法的控制结构(分层作业)高中信息技术必修1数据与计算同步高效课堂 浙教版
- 黄冈市红安县2024-2025学年六年级数学第一学期期末统考模拟试题含解析
- DB34-T 4864-2024 智慧门诊建设指南
- 2024年新人教版七年级上册数学教学课件 6.1.2 点、线、面、体
- 2024年新人教版七年级上册数学教学课件 4.1 第2课时 多项式
- 2024年新人教版七年级上册数学教学课件 2.2.1 第1课时 有理数的乘法法则
- 辽宁省沈阳市法库县2023-2024学年二年级上学期月考数学试卷(11月份)
- 2024至2030年中国城市环卫行业发展前景预测及投资战略咨询报告
- 私人安保服务合同
- 新入职工职前安全培训考试题附完整答案(名校卷)
- 妇科副高专题报告范文
- 2023年临汾市乡宁县招聘司法协理员考试真题
- 2024年绿化工职业技能理论知识考试题库(含答案)
- 2024年中国大唐集团有限公司校园招聘考试试题完整版
- 医院6s管理汇报总结
- DB32T3917-2020基桩自平衡法静载试验技术规程
- (2024)爱国主义教育知识竞赛题库及答案
- 关于ESG体系相关研究的文献综述
评论
0/150
提交评论