少妇做爰免费视看片_欧美人善交videosg_麻豆精品无人区码一二三区别_国产日产精品久久久久兰花_国产欧美va欧美va香蕉在_大地资源网视频在线观看新浪_少妇人妻呻呤_精品久久久久久综合日本_www.亚洲最大夜色伊人_色播在线电影

天津大學(xué)論壇

標(biāo)題: 給論壇做的幾點(diǎn)測試 [打印本頁]

作者: 重新來過 時(shí)間: 2006-11-12 14:17
標(biāo)題: 給論壇做的幾點(diǎn)測試
今天給論壇做了一下測試，當(dāng)然是白盒測試。系統(tǒng)有幾個(gè)漏洞。
1用戶名與密碼的校驗(yàn)作的不夠。
沒用密碼的用戶應(yīng)該是不存在的，當(dāng)然考慮可以匿名登陸的情況。但是當(dāng)我只輸入用戶名不輸入密碼的時(shí)候也能登陸。登陸后是我上次登陸的使用的用戶名。兩次登陸時(shí)間相差不到5分鐘。應(yīng)為我把系統(tǒng)會在長時(shí)間沒有響應(yīng)的情況下，會自動斷開連接，一般網(wǎng)絡(luò)多時(shí)這么做的。所以我選擇在短時(shí)間內(nèi)測試。
2：我只輸入用戶名，然后點(diǎn)擊注冊摁鈕，居然能登陸。而不是調(diào)到注冊頁面。同時(shí)還是以我以前的合法用戶名登陸。另外作為論壇網(wǎng)站，我個(gè)人認(rèn)為在做登陸頁面時(shí)，給控件命名時(shí)，應(yīng)盡量避免使用txtName,txtUserId等這些使用率過高的名稱，原因是web中，同名控件會使用同一個(gè)cookie這樣安全機(jī)制不高。
3：我發(fā)現(xiàn)如果我正常登陸后，如果長時(shí)間不對ie進(jìn)行操作，我與論壇之間的連接仍然有效。這不能算是bug吧,但是總感覺不妥，如果是在家里上網(wǎng)沒什么，如果是在網(wǎng)吧呢？如果能將連接有效時(shí)間設(shè)在3分鐘左右最好（如果3分鐘內(nèi)沒有對其進(jìn)行任何操作，鏈接自動斷開）。
最后我看了網(wǎng)站的souece(代碼)，沒發(fā)現(xiàn)什么問題，個(gè)人能力有限，不過還是能挑出幾個(gè)毛病，咱這網(wǎng)站可以用frame給他分塊，但是沒有，用frame的好處是能夠隱藏代碼（至于怎么隱藏，我想明白人應(yīng)該知道我說的是什么意思。），最后就是屏蔽右健察看代碼
，如果使用frame不屏蔽也無所謂。
上面問題指定是在做業(yè)務(wù)結(jié)束前期測試力度不夠。網(wǎng)站的安全性方面我不敢多說什么。
不過我至少不敢再這里寫博客

作者: の赤水無涯→ 時(shí)間: 2006-11-12 14:21
好建議！！！

頂了

作者: の赤水無涯→ 時(shí)間: 2006-11-12 14:35
為防止惡意發(fā)帖，應(yīng)該取消記憶功能

作者: kuaiji053 時(shí)間: 2006-11-12 15:33
這是cookie,很正常的現(xiàn)象,樓主多慮了~

作者: csdsq 時(shí)間: 2006-11-12 17:47
3：我發(fā)現(xiàn)如果我正常登陸后，如果長時(shí)間不對ie進(jìn)行操作，我與論壇之間的連接仍然有效。這不能算是bug吧,但是總感覺不妥，如果是在家里上網(wǎng)沒什么，如果是在網(wǎng)吧呢？如果能將連接有效時(shí)間設(shè)在3分鐘左右最好（如果3分鐘內(nèi)沒有對其進(jìn)行任何操作，鏈接自動斷開）。

這個(gè)有用！

在家的話，只要前一天用非正常順序退出，第二天上論壇，不用登陸！
可以利用這個(gè)BUG掛機(jī)！

作者: 重新來過 時(shí)間: 2006-11-12 18:26

原帖由 lw2003 于 2006-11-12 14:29 發(fā)表
我暈...

你沒點(diǎn)退出論壇,當(dāng)然再登陸就是這個(gè)效果了

論壇會記錄你ku%^&(忘了怎么拼了 )

論壇這么做也會方便一些

這些應(yīng)該不算漏洞吧

非正常退出的情況，一般用限時(shí)連接來斷開連接，就是在幾分鐘之內(nèi)不做任何操作，他自己斷開，一般安全性要求高的網(wǎng)站多這么做，不能說是bug。也可以說它是bug 如果沒有限時(shí)規(guī)定的話。還有就是論壇紀(jì)錄的不是cookie,如果是用java開發(fā)的網(wǎng)站，不會出現(xiàn)這個(gè)問題，但是現(xiàn)在用.net開發(fā)網(wǎng)站這種問題不能很好地解決，應(yīng)為我們所有變量保存在session中，這個(gè)session一直保存在緩存中，除非我們顯示的去清空它，否則他一直保存，直到他的生命周期結(jié)束。如果細(xì)測的話還能發(fā)現(xiàn)更多問題，如果在代碼中加上<%///%> ，把“///”替換為測試代碼很可能測出一對有用的信息

作者: 重新來過 時(shí)間: 2006-11-12 18:27

原帖由 lw2003 于 2006-11-12 14:29 發(fā)表
我暈...

你沒點(diǎn)退出論壇,當(dāng)然再登陸就是這個(gè)效果了

論壇會記錄你ku%^&(忘了怎么拼了 )

論壇這么做也會方便一些

這些應(yīng)該不算漏洞吧

作者: guhongliang 時(shí)間: 2006-11-29 19:12
一直沒發(fā)現(xiàn)這里能上傳附件的功能，是不是權(quán)限不夠啊斑竹

作者: 坂本つばき 時(shí)間: 2006-11-29 19:15
標(biāo)題: 不太明白，頂一下..........

作者: guhongliang 時(shí)間: 2006-11-30 20:59
樓上用的是什么圖片阿我怎么看不出來什么東西啊？
是頭像么？咋這么抽象呢?

作者: 絕對零度 時(shí)間: 2007-1-5 19:10
標(biāo)題: 掛機(jī)不管用啊掛了三天再看在線時(shí)間還是那幾個(gè)小時(shí)啊

歡迎光臨天津大學(xué)論壇 (http://www.idianju.com/)