南昌大学|中正论坛

标题: 给论坛做的几点测试 [打印本页]

作者: 重新来过 时间: 2006-11-12 14:17
标题: 给论坛做的几点测试
今天给论坛做了一下测试，当然是白盒测试。系统有几个漏洞。
1用户名与密码的校验作的不够。
没用密码的用户应该是不存在的，当然考虑可以匿名登陆的情况。但是当我只输入用户名不输入密码的时候也能登陆。登陆后是我上次登陆的使用的用户名。两次登陆时间相差不到5分钟。应为我把系统会在长时间没有响应的情况下，会自动断开连接，一般网络多时这么做的。所以我选择在短时间内测试。
2：我只输入用户名，然后点击注册摁钮，居然能登陆。而不是调到注册页面。同时还是以我以前的合法用户名登陆。另外作为论坛网站，我个人认为在做登陆页面时，给控件命名时，应尽量避免使用txtName,txtUserId等这些使用率过高的名称，原因是web中，同名控件会使用同一个cookie这样安全机制不高。
3：我发现如果我正常登陆后，如果长时间不对ie进行操作，我与论坛之间的连接仍然有效。这不能算是bug吧,但是总感觉不妥，如果是在家里上网没什么，如果是在网吧呢？如果能将连接有效时间设在3分钟左右最好（如果3分钟内没有对其进行任何操作，链接自动断开）。
最后我看了网站的souece(代码)，没发现什么问题，个人能力有限，不过还是能挑出几个毛病，咱这网站可以用frame给他分块，但是没有，用frame的好处是能够隐藏代码（至于怎么隐藏，我想明白人应该知道我说的是什么意思。），最后就是屏蔽右健察看代码
，如果使用frame不屏蔽也无所谓。
上面问题指定是在做业务结束前期测试力度不够。网站的安全性方面我不敢多说什么。
不过我至少不敢再这里写博客

作者: の赤水无涯→ 时间: 2006-11-12 14:21
好建议！！！:) 顶了:)

作者: lw2003 时间: 2006-11-12 14:29
提示: 作者被禁止或删除内容自动屏蔽

作者: の赤水无涯→ 时间: 2006-11-12 14:35
为防止恶意发帖，应该取消记忆功能:L

作者: kuaiji053 时间: 2006-11-12 15:33
这是cookie,很正常的现象,楼主多虑了~

作者: csdsq 时间: 2006-11-12 17:47
3：我发现如果我正常登陆后，如果长时间不对ie进行操作，我与论坛之间的连接仍然有效。这不能算是bug吧,但是总感觉不妥，如果是在家里上网没什么，如果是在网吧呢？如果能将连接有效时间设在3分钟左右最好（如果3分钟内没有对其进行任何操作，链接自动断开）。

这个有用！
:lol

在家的话，只要前一天用非正常顺序退出，第二天上论坛，不用登陆！
可以利用这个BUG挂机！

;P

作者: 重新来过 时间: 2006-11-12 18:26

原帖由 lw2003 于 2006-11-12 14:29 发表
我晕...

你没点退出论坛,当然再登陆就是这个效果了

论坛会记录你ku%^&(忘了怎么拼了:L )

论坛这么做也会方便一些

这些应该不算漏洞吧

非正常退出的情况，一般用限时连接来断开连接，就是在几分钟之内不做任何操作，他自己断开，一般安全性要求高的网站多这么做，不能说是bug。也可以说它是bug 如果没有限时规定的话。还有就是论坛纪录的不是cookie,如果是用java开发的网站，不会出现这个问题，但是现在用.net开发网站这种问题不能很好地解决，应为我们所有变量保存在session中，这个session一直保存在缓存中，除非我们显示的去清空它，否则他一直保存，直到他的生命周期结束。如果细测的话还能发现更多问题，如果在代码中加上<%///%> ，把“///”替换为测试代码很可能测出一对有用的信息

作者: 重新来过 时间: 2006-11-12 18:27

原帖由 lw2003 于 2006-11-12 14:29 发表
我晕...

你没点退出论坛,当然再登陆就是这个效果了

论坛会记录你ku%^&(忘了怎么拼了:L )

论坛这么做也会方便一些

这些应该不算漏洞吧

作者: guhongliang 时间: 2006-11-29 19:12
一直没发现这里能上传附件的功能，是不是权限不够啊斑竹

作者: 坂本つばき 时间: 2006-11-29 19:15
标题: 不太明白，顶一下..........
:L

作者: guhongliang 时间: 2006-11-30 20:59
楼上用的是什么图片阿我怎么看不出来什么东西啊？
是头像么？咋这么抽象呢?

作者: 绝对零度 时间: 2007-1-5 19:10
标题: 挂机不管用啊挂了三天再看在线时间还是那几个小时啊

欢迎光临南昌大学|中正论坛 (http://ncu.myubbs.com/)