影音先锋男人资源av站_狠狠色综合激情丁香五月_爱爱爱爱看视频_在线播放免费人成视频在线观看_少妇人妻综合久久中文字幕_国产午夜无码精品免费看_久久久久久夜精品精品免费啦_男人女人午夜视频免费_日本xxxx裸体xxxx_丰满人妻熟妇乱又仑精品

電子科大論壇-非清水河畔

標(biāo)題: 給論壇做的幾點測試 [打印本頁]

作者: 重新來過 時間: 2006-11-12 14:17
標(biāo)題: 給論壇做的幾點測試
今天給論壇做了一下測試，當(dāng)然是白盒測試。系統(tǒng)有幾個漏洞。
1用戶名與密碼的校驗作的不夠。
沒用密碼的用戶應(yīng)該是不存在的，當(dāng)然考慮可以匿名登陸的情況。但是當(dāng)我只輸入用戶名不輸入密碼的時候也能登陸。登陸后是我上次登陸的使用的用戶名。兩次登陸時間相差不到5分鐘。應(yīng)為我把系統(tǒng)會在長時間沒有響應(yīng)的情況下，會自動斷開連接，一般網(wǎng)絡(luò)多時這么做的。所以我選擇在短時間內(nèi)測試。
2：我只輸入用戶名，然后點擊注冊摁鈕，居然能登陸。而不是調(diào)到注冊頁面。同時還是以我以前的合法用戶名登陸。另外作為論壇網(wǎng)站，我個人認為在做登陸頁面時，給控件命名時，應(yīng)盡量避免使用txtName,txtUserId等這些使用率過高的名稱，原因是web中，同名控件會使用同一個cookie這樣安全機制不高。
3：我發(fā)現(xiàn)如果我正常登陸后，如果長時間不對ie進行操作，我與論壇之間的連接仍然有效。這不能算是bug吧,但是總感覺不妥，如果是在家里上網(wǎng)沒什么，如果是在網(wǎng)吧呢？如果能將連接有效時間設(shè)在3分鐘左右最好（如果3分鐘內(nèi)沒有對其進行任何操作，鏈接自動斷開）。
最后我看了網(wǎng)站的souece(代碼)，沒發(fā)現(xiàn)什么問題，個人能力有限，不過還是能挑出幾個毛病，咱這網(wǎng)站可以用frame給他分塊，但是沒有，用frame的好處是能夠隱藏代碼（至于怎么隱藏，我想明白人應(yīng)該知道我說的是什么意思。），最后就是屏蔽右健察看代碼
，如果使用frame不屏蔽也無所謂。
上面問題指定是在做業(yè)務(wù)結(jié)束前期測試力度不夠。網(wǎng)站的安全性方面我不敢多說什么。
不過我至少不敢再這里寫博客

作者: の赤水無涯→ 時間: 2006-11-12 14:21
好建議！！！

頂了

作者: lw2003 時間: 2006-11-12 14:29
我暈...

你沒點退出論壇,當(dāng)然再登陸就是這個效果了

論壇會記錄你ku%^&(忘了怎么拼了

)

論壇這么做也會方便一些

這些應(yīng)該不算漏洞吧

作者: の赤水無涯→ 時間: 2006-11-12 14:35
為防止惡意發(fā)帖，應(yīng)該取消記憶功能

作者: kuaiji053 時間: 2006-11-12 15:33
這是cookie,很正常的現(xiàn)象,樓主多慮了~

作者: csdsq 時間: 2006-11-12 17:47
3：我發(fā)現(xiàn)如果我正常登陸后，如果長時間不對ie進行操作，我與論壇之間的連接仍然有效。這不能算是bug吧,但是總感覺不妥，如果是在家里上網(wǎng)沒什么，如果是在網(wǎng)吧呢？如果能將連接有效時間設(shè)在3分鐘左右最好（如果3分鐘內(nèi)沒有對其進行任何操作，鏈接自動斷開）。

這個有用！

在家的話，只要前一天用非正常順序退出，第二天上論壇，不用登陸！
可以利用這個BUG掛機！

作者: 重新來過 時間: 2006-11-12 18:26

原帖由 lw2003 于 2006-11-12 14:29 發(fā)表
我暈...

你沒點退出論壇,當(dāng)然再登陸就是這個效果了

論壇會記錄你ku%^&(忘了怎么拼了 )

論壇這么做也會方便一些

這些應(yīng)該不算漏洞吧

非正常退出的情況，一般用限時連接來斷開連接，就是在幾分鐘之內(nèi)不做任何操作，他自己斷開，一般安全性要求高的網(wǎng)站多這么做，不能說是bug。也可以說它是bug 如果沒有限時規(guī)定的話。還有就是論壇紀(jì)錄的不是cookie,如果是用java開發(fā)的網(wǎng)站，不會出現(xiàn)這個問題，但是現(xiàn)在用.net開發(fā)網(wǎng)站這種問題不能很好地解決，應(yīng)為我們所有變量保存在session中，這個session一直保存在緩存中，除非我們顯示的去清空它，否則他一直保存，直到他的生命周期結(jié)束。如果細測的話還能發(fā)現(xiàn)更多問題，如果在代碼中加上<%///%> ，把“///”替換為測試代碼很可能測出一對有用的信息

作者: 重新來過 時間: 2006-11-12 18:27

原帖由 lw2003 于 2006-11-12 14:29 發(fā)表
我暈...

你沒點退出論壇,當(dāng)然再登陸就是這個效果了

論壇會記錄你ku%^&(忘了怎么拼了 )

論壇這么做也會方便一些

這些應(yīng)該不算漏洞吧

作者: guhongliang 時間: 2006-11-29 19:12
一直沒發(fā)現(xiàn)這里能上傳附件的功能，是不是權(quán)限不夠啊斑竹

作者: 坂本つばき 時間: 2006-11-29 19:15
標(biāo)題: 不太明白，頂一下..........

作者: guhongliang 時間: 2006-11-30 20:59
樓上用的是什么圖片阿我怎么看不出來什么東西啊？
是頭像么？咋這么抽象呢?

作者: 絕對零度 時間: 2007-1-5 19:10
標(biāo)題: 掛機不管用啊掛了三天再看在線時間還是那幾個小時啊

歡迎光臨電子科大論壇-非清水河畔 (http://www.hallmarkedu.com/)