论坛安全测试用例.xlsVIP

Sheet3

Sheet2

管理员模块安全测试

测试用例编号

测试模块

测试内容

操作

输入项

应用程序是否易受SQL注入攻击

1.输入论坛网址

2.登录管理员账号

2.在网址后添加“and1=1”

网址：0:8082

/Discuz/forum.phpand1=1

网页提示“objectnotfound!”

不能进行SQL注入

应用程序是否易受XSS攻击

1.进入论坛

2.在搜索框内输入”tiehua‘

搜索框内输入”tiehua‘

身份验证

区分公共访问和受限访问

1.进入论坛

2.登录管理员账号

3.任意选择“我的”、“设置”、“消息”、“提醒”之一

4.任意选择“门户管理”、“管理中心”之一

5.观察网页的响应

用户名:admin

密码：123456

“我的”、“设置”、“消息”

、“提醒”不用再次输入密码

“门户管理”、“管理中心”需要再次输入密码

区分公共访问与授权访问

验证调用者身份

1.进入论坛

2.登录管理员账号

3.任意选择“门户管理”、“管理中心”之一

需要再次输入密码

还可加入问题验证

加密

1.设置代理：地址

端口8008

2.打开WebScarab

3.进入论坛，登录管理员账号

4.查看WebScarab的请求数据

代理地址：

端口号：8008

用户名：admin

密码：123456

审核和日志记录

是否明确了要审核的活动?

1.进入论坛

2.登录管理员账号

3.进入“管理中心”

4.查看要审核的活动

明确了要审核的活动种类

有效和无效的用户名和密码

1.进入论坛

2.输入有效用户名

3.输入无效密码

4.点击登录

用户名:admin

密码：134567

提示“登录失败，还可以尝试4次”

1.进入论坛

2.输入无效用户名

3.输入有效密码

4.点击登录

用户名:amidn

密码：123456

提示“登录失败，还可以尝试3次”

1.进入论坛

2.输入无效用户名

3.输入无效密码

4.点击登录

用户名:amidn

密码：134567

提示“登录失败，还可以尝试2次”

1.进入论坛

2.输入有效用户名

3.输入有效密码

4.点击登录

登陆成功，登录到管理员界面

大小写敏感

1.进入论坛

2.输入用户名

3.输入密码

4.点击登录

用户名:“ADMIN”或“AdMin”

密码：123456

可以尝试次数的限制

用户名：admin

密码：1

提示“登录失败，还可以尝试4次”

在线超时

Web应用系统是否有超时的限制

1.进入论坛

2.登录管理员账号

3.不在此网页做任何动作

用户名：admin

密码：123456

页面无变化

无在线超时限制

1.进入论坛

2.登录管理员账号

3.进入“管理中心”

3.不在此网页做任何动作

在线一定时长后续重新登陆

测试内容：用户模块安全测试

使用工具：WebScarab

用户登录

登录密码复杂度

失败登录限制是否拥有

密码自动完成

1：进入论坛2：进行新用户注册3：输入新用户注册密码

预期结果

实际测试结果

无输入验证码

显示密码强弱程度

P/F

备注

1：用户名：12342：密码1：用户名：1234

2：密码：123456789

3：确认密码：123456789

4：邮箱：1121697583@

验证码

登录失败处理功能

会限制登录次数，和超过尝试次数后限制下次登陆时间

密码错误后限制输入

密码次数为2，下次

登陆时间为15分钟后

1.进入论坛

2.进行登录

3.输入错误的密码

1.进入论坛

2.进行登录

3.输入错误的密码或错误用户名

失败登录后无详细提示是用户名错误还是密码错误

有效和无效用户名和密码

1：进入论坛2：输入有效的用户名

3：输入无效的密码

1：用户名：1234

2：密码

1：进入论坛

2：输入无效的用户名

3：输入有效的密码

1：用户名：12345

2：密码：123456789

提示登陆失败

1：进入论坛

2：输入:有效效的用户名

3：输入有效的密码

1：用户名：1234

2：密码：123456789

登陆成功

安全性问题

用户的个人资料

使用自动化工具appscan进行缺省值常规扫描

12wwee

Discuzl

Indexof

wrp的个人资料

登陆

登陆管理员中心

立即注册

论坛

门户

默认板块

搜索

提示信息

无安全性问题

无安全性问题

2个解密的登陆请求问题

3个目录列表问题和五个ApacheMultiviews攻击问题

1个目录列表问题、2个