论坛安全测试用例

测试内容：用户模块安全测试使用工具：WebScarab8.0.0.0测试人员：测试用例编号测试模块测试内容操作1登录密码复杂度1：进入论坛2：进行新用户注册3：输入新用户注册密码2失败登录限制是否拥有1.进入论坛2.进行登录3.输入错误的密码3验证码4登录失败处理功能1.进入论坛2.进行登录3.输入错误的密码或错误用户名51：进入论坛2：输入有效的用户名3：输入无效的密码61：进入论坛2：输入无效的用户名3：输入有效的密码71：进入论坛2：输入:有效效的用户名3：输入有效的密码8密码自动完成9用户的个人资料使用自动化工具appscan进行缺省值常规扫描有效和无效用户名和密码用户登录安全性问题1012wwee使用自动化工具appscan进行缺省值常规扫描11Discuzl使用自动化工具appscan进行缺省值常规扫描12Indexof使用自动化工具appscan进行缺省值常规扫描13wrp的个人资料使用自动化工具appscan进行缺省值常规扫描14登陆使用自动化工具appscan进行缺省值常规扫描15登陆管理员中心使用自动化工具appscan进行缺省值常规扫描16立即注册使用自动化工具appscan进行缺省值常规扫描17论坛使用自动化工具appscan进行缺省值常规扫描18门户使用自动化工具appscan进行缺省值常规扫描19默认板块使用自动化工具appscan进行缺省值常规扫描20搜索使用自动化工具appscan进行缺省值常规扫描安全性问题21提示信息使用自动化工具appscan进行缺省值常规扫描22应用程序是否易受SQL注入攻击1.输入论坛网址2.登录管理员账号2.在网址后添加“and1=1”23应用程序是否易受XSS攻击1.进入论坛2.在搜索框内输入”tiehua‘24区分公共访问和受限访问1.进入论坛2.登录管理员账号3.任意选择“我的”、“设置”、“消息”、“提醒”之一4.任意选择“门户管理”、“管理中心”之一5.观察网页的响应25验证调用者身份1.进入论坛2.登录管理员账号3.任意选择“门户管理”、“管理中心”之一26加密在加密通道上传递密码1.设置代理：地址127.0.0.1端口80082.打开WebScarab3.进入论坛，登录管理员账号4.查看WebScarab的请求数据27审核和日志记录是否明确了要审核的活动 1.进入论坛2.登录管理员账号3.进入“管理中心”4.查看要审核的活动输入验证身份验证安全性问题281.进入论坛2.输入有效用户名3.输入无效密码4.点击登录291.进入论坛2.输入无效用户名3.输入有效密码4.点击登录301.进入论坛2.输入无效用户名3.输入无效密码4.点击登录311.进入论坛2.输入有效用户名3.输入有效密码4.点击登录32大小写敏感1.进入论坛2.输入用户名3.输入密码4.点击登录33可以尝试次数的限制1.进入论坛2.输入用户名3.输入密码4.点击登录341.进入论坛2.登录管理员账号3.不在此网页做任何动作351.进入论坛2.登录管理员账号3.进入“管理中心”3.不在此网页做任何动作在线超时有效和无效的用户名和密码Web应用系统是否有超时的限制管理员登陆输入项预期结果实际测试结果P/F1：用户名：12342：密码：1234567893：确认密码：1234567894：邮箱：1121697583@qq.com显示密码强弱程度显示密码强弱程度P1：用户名：12342：密码：12345678会限制登录次数，和超过尝试次数后限制下次登陆时间密码错误后限制输入密码次数为2，下次登陆时间为15分钟后P无输入验证码F1：用户名：12342：密码：12345678失败登录后无详细提示是用户名错误还是密码错误失败登录后无详细提示是用户名错误还是密码错误，提示还可尝试两次P1：用户名：12342：密码：12345678提示登陆失败提示登陆失败P1：用户名：123452：密码：123456789提示登陆失败提示登陆失败P1：用户名：12342：密码：123456789登陆成功登陆成功P无密码自动完成P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题3个目录列表问题和五个ApacheMultiviews攻击问题F无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题2个解密的登陆请求问题F无安全性问题无安全性问题P无安全性问题1个目录列表问题、2个ApacheMultiviews攻击问题、2个Robots.txt文件Web站点结构暴露问题、1个检测到隐藏目录问题和1个直接访问管理员F无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题无安全性问题P无安全性问题2个已解密的登陆请求F网址：=1网页提示“objectnotfound!”不能进行SQL注入网页提示“objectnotfound!”不能进行SQL注入P搜索框内输入”tiehua‘不易受XSS攻击搜索，搜索框内出现“lt;”tiehua‘gt;”易受XSS攻击F用户名:admin密码：123456“我的”、“设置”、“消息”、“提醒”不用再次输入密码“门户管理”、“管理中心”需要再次输入密码区分公共访问与授权访问“我的”、“设置”、“消息”、“提醒”不用再次输入密码“门户管理”、“管理中心”需要再次输入密码区分公共访问与授权访问P用户名:admin密码：123456需要再次输入密码还可加入问题验证需要再次输入密码还可加入问题验证P代理地址：127.0.0.1端口号：8008用户名：admin密码：123456请求中出现数据：=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1可知为严重漏洞，可绕过登陆验证码测试弱口令F用户名:admin密码：123456明确了要审核的活动种类明确了要审核的活动种类P用户名:admin密码：134567提示“登录失败，还可以尝试4次”提示“登录失败，还可以尝试4次”P用户名:amidn密码：123456提示“登录失败，还可以尝试3次”提示“登录失败，还可以尝试3次”P用户名:amidn密码：134567提示“登录失败，还可以尝试2次”提示“登录失败，还可以尝试2次”P用户名:admin密码：123456登陆成功，登录到管理员界面登陆成功，登录到管理员界面P用户名:“ADMIN”或“AdMin”密码：123456登陆成功，登录到管理员界面登陆成功，登录到管理员界面P用户名：admin密码：1提示“登录失败，还可以尝试4次”提示“登录失败，还可以尝试4次”P用户名：admin密码：123456页面无变化无在线超时限制页面无变化无在线超时限制F用户名：admin密码：123456在线一定时长后续重新登陆在线一定时长后续重新登陆P备注