|
今天给论坛做了一下测试,当然是白盒测试。系统有几个漏洞。
1用户名与密码的校验作的不够。
没用密码的用户应该是不存在的,当然考虑可以匿名登陆的情况。但是当我只输入用户名不输入密码的时候也能登陆。登陆后是我上次登陆的使用的用户名。两次登陆时间相差不到5分钟。应为我把系统会在长时间没有响应的情况下,会自动断开连接,一般网络多时这么做的。所以我选择在短时间内测试。
2:我只输入用户名,然后点击注册摁钮,居然能登陆。而不是调到注册页面。同时还是以我以前的合法用户名登陆。另外作为论坛网站,我个人认为在做登陆页面时,给控件命名时,应尽量避免使用txtName,txtUserId等这些使用率过高的名称,原因是web中,同名控件会使用同一个cookie这样安全机制不高。
3:我发现如果我正常登陆后,如果长时间不对ie进行操作,我与论坛之间的连接仍然有效。这不能算是bug吧,但是总感觉不妥,如果是在家里上网没什么,如果是在网吧呢?如果能将连接有效时间设在3分钟左右最好(如果3分钟内没有对其进行任何操作,链接自动断开)。
最后我看了网站的souece(代码),没发现什么问题,个人能力有限,不过还是能挑出几个毛病,咱这网站可以用frame给他分块,但是没有,用frame的好处是能够隐藏代码(至于怎么隐藏,我想明白人应该知道我说的是什么意思。),最后就是屏蔽右健察看代码
,如果使用frame不屏蔽也无所谓。
上面问题指定是在做业务结束前期测试力度不够。网站的安全性方面我不敢多说什么。
不过我至少不敢再这里写博客 |
评分
-
查看全部评分
|