src-登陆框的常见测试思路

news2024/11/15 12:47:34

常见的登陆形式

第三方平台 OAuth 认证

用户名 + 密码

手机号 + 短信验证码

邮箱 + 邮件验证码

登陆框的常见测试思路

弱口令

弱口令指的是人为设定、复杂度较低的密码口令

为系统账户（尤其是管理员账户）设置弱口令会使得整个系统的身份认证模块形同虚设

在测试这一块的时候，要先简单尝试一下后再进行爆破

1. 登陆的接口是否有频率的限制？是否有限制错误尝试的次数？如果限制了的话是否可以绕过？

2. 登陆的时候是否有多余的提示？如果没有的话要观察响应包是否存在细微的差别？

3. 登陆的时候是否存在验证码？验证码是否可以绕过？

在测试的过程中，面对不同的情景有不同的测试方法

【用户名 & 密码未知】测试方法：

1. 先尝试 Top 10 常用用户名 + Top 100 弱口令（或者 123456 ）来爆破

2. 再尝试用 Top 500 常用用户名 + Top 10 弱口令（或者 123456 ）来爆破

3. 若无结果，再尝试用 Brute Force 爆破用户名 + Top 10 弱口令

4. 若还无结果，尝试几个常见的管理员用户名（admin、sa、administrator、manager） + Brute

Force 爆破密码

【用户名已知 & 密码未知】测试方法：

1. 先尝试已知用户名 + 密码 Top 100 / Top 1000 / Top 6000（取决于已知用户名的多少，多则字典

小点，少则字典大点）

2. 直接莽它就完了已知用户名 + 300w 大字典或者已知用户名 + Brute Force 爆破密码（优先后者）

SQL 万能账号 / 密码

本质上是因为将未经处理的用户输入直接拼接到 SQL 语句中被执行导致的身份认证绕过

猜测 SQL 语句： SELECT * FROM cms_admin WHERE username='admin' AND passwd='wobuzhidao'

绕过后 SQL 语句： SELECT * FROM cms_admin WHERE username='admin'or''='' AND

passwd='wobuzhidao' 会发现其中有个 'admin'or''='' AND passwd='wobuzhidao' 永真

放到业务逻辑里就是在数据库中匹配到一条数据，识别为合法用户

测试方法：

1. 尝试传入 admin / 123456 ，观察页面是否有多余的提示（即不存在的用户名、密码错误等提示）

2. 若第一步能判断出 admin 为存在的用户，再尝试 admin'and'1'='1 ，观察是否与先前的提示一

致

3. 尝试将单引号改为双引号，再尝试一遍并观察与先前的提示是否一致。

4. 若不一致，可能不存在 SQL 注入；若一致，则尝试 admin'and''=' ，观察是否能成功登陆

未授权接口 & 页面

常规测试方法：

1. FindSomething 火狐插件找登陆框就能发现的接口。

2. 复制插件里的路径，然后丢 Bp 里跑一遍，要是大多是 404，就去前端 js 找一下是不是有前缀，有

前缀加上前缀再跑一次。

3. 在跑完之后如果发现一些隐藏的页面，就尝试去访问它。如果没跳转就用 Bp 抓包，每个功能点都

尝试点一下看看有没数据返回；如果有跳转的话，就开 BP 拦截住，这个时候再看看

FindSomething 插件有没显示出一些别的接口，如果有的话再丢 Bp 里跑一遍。

对于遇到的几种不同情况的处理方式：

1. 405 Method Not Allowed：译为方法不允许，这个时候可以尝试把 GET/POST 改为 OPTIONS，看

看返回了啥请求方法就可以用啥请求方法，如果使用 OPTIONS 也 405，就直接尝试改为 PUT、

DELETE...

2. 参数缺失 / 缺少 XXX 参数：这个时候可以考虑去前端根据这个接口的关键字去找需要传入的参数，

如果有提示缺少啥参数，就根据提示的参数进行拼接就好。

3. Unsupported Media Type / 不支持内容类型 application/xxxx：这个时候可以考虑将 Content

Type 更改为其他的内容类型，例如 json、x-www-form-urlencoded、multipart/form-data...

4. 403 Forbidden：译为禁止，当你去直接通过 URL 访问一个目录的时候，经常会出现 403

Forbidden，这实际上是一个标志，表明这个地方存在该目录但不允许你直接访问。

前端欺骗

前端欺骗实际上就是更改服务端的响应内容或者前端的一些内容

从而让前端以为我们通过认证，解析一些只有授权用户才能看到的内容

常规的测试方法：

1. 正常登陆流程走一遍，观察响应包的内容，特别留意哪些 0、1、true、false这种看起来像是用来

判断用户权限的凭证。

2. 根据猜测，尝试修改响应包的内容，看是否会跳转到新的页面。如果修改响应包的内容页面无任何

变化的话，就得根据响应包的一些关键字去前端搜索，看有没有一些写好的状态码，例如说：if

(status == "53001") ，这个时候我们就可以尝试将响应包的相似的一些值给改成我们先前发现的状

态码，最后看是否有跳转。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2081187.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！