测试目的:查看是否有验证码机制,以及验证码机制是否完善
- 登陆页面是否存在验证码,不存在说明存在漏洞,完成测试
- 验证码和用户名、密码是否一次性、同时提交给服务器验证,如果是分开提交、分开验证,则存在漏洞
- 在服务器端,是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞。(检测方法:输入错误的用户名或密码、错误的验证码。观察返回信息,是否只提示验证码错误,也就是说当验证码错误时,禁止再判断用户名和密码。)
- 验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞,完成测试
- 生成的验证码是否可以通过html源代码查看到,如果可以说明存在漏洞,完成测试
- 生成验证码的模块是否根据提供的参数生成验证码,如果是说明存在漏洞,完成测试
- 请求10次观察验证码是否随机生成,如果存在一定的规律(例如5次后出现同一验证码)说明存在漏洞,完成测试
- 观察验证码图片中背景是否存在无规律的点或线条,如果背景为纯色(例如只有白色)说明存在漏洞,完成测试
- 验证码在认证一次后是否立即失效:
- 请求登陆页面,得到生成的验证码
- 开启WebScarab,配置对GET和POST请求进行拦截;并在浏览器中配置代理服务器IP为127.0.0.1,端口为8008
- 填入错误的用户名和口令,填入正确的验证码,提交表单
- 从WebScarab拦截数据中复制对应登陆请求的POST或GET消息(文本格式),将其中的口令更改一个字符
- 在命令行中输入telnet <服务器域名或IP> <端口>,回车
- 将修改的内容粘贴到命令行窗口中,回车
- 判断返回的页面中是否包含“验证码错误”(或类似)的提示,如果没有,说明存在漏洞,完成测试