登陆框站点-测试思路.pdfVIP

常见的登陆形式

第三方平台OAuth认证

用户名+密码

手机号+短信验证码

邮箱+邮件验证码

登陆框的常见测试思路

弱口令

弱口令指的是人为设定、复杂度较低的密码口令

为系统账户（尤其是管理员账户）设置弱口令会使得整个系统的身份认证模块形同虚设

在测试这一块的时候，要先简单尝试一下后再进行爆破

1.登陆的接口是否有频率的限制？是否有限制错误尝试的次数？如果限制了的话是否可以绕过？

2.登陆的时候是否有多余的提示？如果没有的话要观察响应包是否存在细微的差别？

3.登陆的时候是否存在验证码？验证码是否可以绕过？

在测试的过程中，面对不同的情景有不同的测试方法

【用户名密码未知】测试方法：

1.先尝试Top10常用用户名+Top100弱口令（或者123456）来爆破

2.再尝试用Top500常用用户名+Top10弱口令（或者123456）来爆破

3.若无结果，再尝试用BruteForce爆破用户名+Top10弱口令

4.若还无结果，尝试几个常见的管理员用户名（admin、sa、administrator、manager）+Brute

Force爆破密码

【用户名已知密码未知】测试方法：

1.先尝试已知用户名+密码Top100/Top1000/Top6000（取决于已知用户名的多少，多则字典

小点，少则字典大点）

2.直接莽它就完了已知用户名+300w大字典或者已知用户名+BruteForce爆破密码（优先后

者）

SQL万能账号/密码

本质上是因为将未经处理的用户输入直接拼接到SQL语句中被执行导致的身份认证绕过

猜测SQL语句：SELECT*FROMcms_adminWHEREusernameadminANDpasswdwobuzhidao

绕过后SQL语句：SELECT*FROMcms_adminWHEREusernameadminorAND

passwdwobuzhidao

会发现其中有个adminorANDpasswdwobuzhidao永真

放到业务逻辑里就是在数据库中匹配到一条数据，识别为合法用户

测试方法：

1.尝试传入admin/123456，观察页面是否有多余的提示（即不存在的用户名、密码错误等提示）

2.若第一步能判断出admin为存在的用户，再尝试adminand11，观察是否与先前的提示一

致

3.尝试将单引号改为双引号，再尝试一遍并观察与先前的提示是否一致。

4.若不一致，可能不存在SQL注入；若一致，则尝试adminand，观察是否能成功登陆

未授权接口页面

常规测试方法：

1.FindSomething火狐插件找登陆框就能发现的接口。

2.复制插件里的路径，然后丢Bp里跑一遍，要是大多是404，就去前端js找一下是不是有前缀，有

前缀加上前缀再跑一次。

3.在跑完之后如果发现一些隐藏的页面，就尝试去访问它。如果没跳转就用Bp抓包，每个功能点都

尝试点一下看看有没数据返回；如果有跳转的话，就开BP