用户名:admin 密码：123456
明确了要审核的活动种类
明确了要审核的活动种 类
P
用户名:admin 密码：134567
提示“登录失败，还可以 提示“登录失败，还可 尝试4次” 以尝试4次” 提示“登录失败，还可以 提示“登录失败，还可 尝试3次” 以尝试3次”
P
用户名:amidn 密码：123456
P
P
用户名：admin 密码：123456 用户名：admin 密码：123456
页面无变化 无在线超时限制
页面无变化 无在线超时限制
F
在线一定时长后续重新登 在线一定时长后续重新 陆 登陆
P
备注
24 身份验证
区分公共访问和受限 访问
1.进入论坛 2.登录管理员账号 3.任意选择“我的”、“设 置”、“消息”、“提醒” 之一 4.任意选择“门户管理”、 “管理中心”之一 5.观察网页的响应 1.进入论坛 2.登录管理员账号 3.任意选择“门户管理”、 “管理中心”之一
25
验证调用者身份
26
加密
请求中出现数据： http://222.196.35.20: 8082/Discuz/member.ph p?mod=logging&action= login&loginsubmit=yes F &infloat=yes&lssubmit =yes&inajax=1 可知为严重漏洞，可绕 过登陆验证码测试弱口 令
无安全性问题
无安全性问题
P
无安全性问题
2个解密的登陆请求问题 F
无安全性问题
无安全性问题
P
无安全性问题
1个目录列表问题、2个 Apache Multiviews攻击 问题、2个Robots.txt文 F 件Web站点结构暴露问题 、1个检测到隐藏目录问 题和1个直接访问管理员 无安全性问题 P
无安全性问题
P
搜索框内输入<”tiehua‘>
不易受XSS攻击
搜索，搜索框内出现 “ lt;”tiehua ‘ gt; F ” 易受XSS攻击 “我的”、“设置”、 “消息” 、“提醒”不用再次输 入密码 “门户管理”、“管理 中心”需要再次输入密 码 区分公共访问与授权访 问 需要再次输入密码 还可加入问题验证
34 在线超时 35
输入项 1：用户名：1234 2：密码：123456789 3：确认密码：123456789 4：邮箱： 1121697583@ 1：用户名：1234 2：密码：12345678
预期结果
实际测试结果
P/F
显示密码强弱程度
显示密码强弱程度
P
会限制登录次数，和超过 密码错误后限制输入 尝试次数后限制下次登陆 密码次数为2，下次 时间 登陆时间为15分钟后
10
12wwee
使用自动化工具appscan进 行缺省值常规扫描
11
Discuzl
使用自动化工具appscan进 行缺省值常规扫描
12
Index of
使用自动化工具appscan进 行缺省值常规扫描
13
wrp的个人资料
使用自动化工具appscan进 行缺省值常规扫描
14
登陆
使用自动化工具appscan进 行缺省值常规扫描
无安全性问题
无安全性问题
P
无安全性问题
无安全性问题
P
无安全性问题
2个已解密的登陆请求
F
网址： 网页提示“object not http://222.196.35.20:8082 found!” /Discuz/forum.php and 1=1 不能进行SQL注入
网页提示“object not found!” 不能进行SQL注入
测试内容：用户模块安全测试 测试人员： 测试用例编号 测试模块 测试内容
使用工具： WebScarab8.0.0.0 操作 1：进入论坛 2：进行新用户注册 3：输入新用户注册密码 1.进入论坛 2.进行登录 3.输入错误的密码
1
登录密码复杂度
2
失败登录限制是否拥 有
3
验证码
4 用户登录 5
登录失败处理功能
提示登陆失败
提示登陆失败
P
1：用户名：1234 2：密码：123456789
登陆成功
登陆成功
P
无密码自动完成
P
无安全性问题
无安全性问题
P
无安全性问题
无安全性问题
P
无安全性问题
无安全性问题
P
无安全性问题
3个目录列表问题和五个 Apache Multiviews攻击 F 问题
无安全性问题
无安பைடு நூலகம்性问题
P
用户名:admin 密码：123456
“我的”、“设置”、“ 消息” 、“提醒”不用再次输入 密码 “门户管理”、“管理中 心”需要再次输入密码 区分公共访问与授权访问
P
用户名:admin 密码：123456
需要再次输入密码 还可加入问题验证
P
代理地址：127.0.0.1 端口号：8008 用户名：admin 密码：123456
20
搜索
使用自动化工具appscan进 行缺省值常规扫描
21
提示信息
使用自动化工具appscan进 行缺省值常规扫描
22 输入验证 23
1.输入论坛网址 应用程序是否易受SQL 2.登录管理员账号 注入攻击 2.在网址后添加“and 1=1 ” 1.进入论坛 应用程序是否易受XSS 2.在搜索框内输入<” 攻击 tiehua‘>
在加密通道上传递密 码
1.设置代理：地址 127.0.0.1 端口8008 2.打开WebScarab 3.进入论坛，登录管理员账 号 4.查看WebScarab的请求数 据
27
审核和日志记录
是否明确了要审核的 活动
1.进入论坛 2.登录管理员账号 3.进入“管理中心” 4.查看要审核的活动
28
1.进入论坛 2.进行登录 3.输入错误的密码或错误用 户名 1：进入论坛 2：输入有效的用户名 3：输入无效的密码
6
1：进入论坛 有效和无效用户名和 2：输入无效的用户名 密码 3：输入有效的密码
7
1：进入论坛 2：输入:有效效的用户名 3：输入有效的密码
8
密码自动完成
9
用户的个人资料
使用自动化工具appscan进 行缺省值常规扫描
15 安全性问题 16
登陆管理员中心
使用自动化工具appscan进 行缺省值常规扫描
立即注册
使用自动化工具appscan进 行缺省值常规扫描
17
论坛
使用自动化工具appscan进 行缺省值常规扫描
18
门户
使用自动化工具appscan进 行缺省值常规扫描
19
默认板块
使用自动化工具appscan进 行缺省值常规扫描
P
无输入验证码
F
1：用户名：1234 2：密码：12345678
失败登录后无详细提示 失败登录后无详细提示是 是用户名错误还是密码 用户名错误还是密码错误 错误，提示还可 尝试两次
P
1：用户名：1234 2：密码：12345678
提示登陆失败
提示登陆失败
P
1：用户名：12345 2：密码：123456789
P
用户名:amidn 密码：134567
提示“登录失败，还可以 提示“登录失败，还可 尝试2次” 以尝试2次”
P
用户名:admin 密码：123456
登陆成功，登录到管理员 登陆成功，登录到管理 界面 员界面
P
用户名:“ADMIN”或“AdMin 登陆成功，登录到管理 ” 登陆成功，登录到管理员界面 员 密码：123456 界面 用户名：admin 密码：1 提示“登录失败，还可以 提示“登录失败，还可 尝试4次” 以尝试4次”
29
30 管理员登陆 31
32
33
1.进入论坛 2.输入有效用户名 3.输入无效密码 4.点击登录 1.进入论坛 2.输入无效用户名 3.输入有效密码 有效和无效的用户名 4.点击登录 和密码 1.进入论坛 2.输入无效用户名 3.输入无效密码 4.点击登录 1.进入论坛 2.输入有效用户名 3.输入有效密码 4.点击登录 1.进入论坛 2.输入用户名 大小写敏感 3.输入密码 4.点击登录 1.进入论坛 2.输入用户名 可以尝试次数的限制 3.输入密码 4.点击登录 1.进入论坛 2.登录管理员账号 3.不在此网页做任何动作 Web应用系统是否有超 1.进入论坛 时的限制 2.登录管理员账号 3.进入“管理中心” 3.不在此网页做任何动作