日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
軟件測(cè)試知識(shí)儲(chǔ)備:關(guān)于「登錄安全」的基礎(chǔ)知識(shí),你了解多少?

?作為測(cè)試,給我們一個(gè)關(guān)鍵詞“登錄”,我們可能想到的用例設(shè)計(jì)更多的是什么用戶名、密碼校驗(yàn)是否合法、是否為空、是否正確等等之類的場(chǎng)景。

成都創(chuàng)新互聯(lián)網(wǎng)站建設(shè)服務(wù)商,為中小企業(yè)提供成都做網(wǎng)站、成都網(wǎng)站建設(shè)服務(wù),網(wǎng)站設(shè)計(jì),成都網(wǎng)站托管等一站式綜合服務(wù)型公司,專業(yè)打造企業(yè)形象網(wǎng)站,讓您在眾多競(jìng)爭(zhēng)對(duì)手中脫穎而出成都創(chuàng)新互聯(lián)

但在如今信息化的時(shí)代,“登錄安全”已經(jīng)是一個(gè)很熱門且普遍的的話題了,今天給大家簡(jiǎn)單分享一下個(gè)人了解到的關(guān)于「登錄安全」基礎(chǔ)知識(shí)。

概念普及

在了解登錄安全之前,給大家普及兩個(gè)基礎(chǔ)概念:“撞庫(kù)”和“防撞庫(kù)”。

百度到的原文介紹是:“撞庫(kù)是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,生成對(duì)應(yīng)的字典表,嘗試批量登陸其他網(wǎng)站后,得到一系列可以登錄的用戶。并且很多用戶在不同網(wǎng)站使用的是相同的帳號(hào)密碼,因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址,這就可以理解為撞庫(kù)攻擊。”

換個(gè)角度大家可以這樣理解,很多用戶的賬號(hào)和密碼匯總在一起,形成了一個(gè)“庫(kù)”,很多不法分子為了盜取到用戶的賬號(hào)信息,會(huì)絞盡腦汁通過各式各樣的手段去不斷嘗試獲取用戶的真實(shí)賬號(hào)信息。這個(gè)“不斷的嘗試獲取”的動(dòng)作過程,我們可以稱之為“撞”。

有不法分子的“撞”,當(dāng)然就有了正式使者的“防”,為了提高用戶的賬號(hào)信息安全,程序員(正義使者)在設(shè)計(jì)登錄時(shí)會(huì)通過一系列的手段來一層一層的保護(hù)用戶的賬號(hào)信息安全。

常見的登錄安全問題

這邊給大家普及下常見的可判定為賬號(hào)可能存在被盜取的場(chǎng)景:

  • 同一個(gè)密碼&不同賬號(hào),出現(xiàn)錯(cuò)誤多次;
  • 同一個(gè)賬號(hào)&不同密碼,出現(xiàn)錯(cuò)誤多次;
  • 頻繁獲取短信驗(yàn)證碼。

以上的場(chǎng)景存在兩個(gè)共性,分別是“短時(shí)間范圍內(nèi)” and“同一個(gè)設(shè)備”,因?yàn)楹诳突蛘咂渌环ǚ肿?,在不斷嘗試獲取用戶賬號(hào)密碼信息時(shí)基本是在同一個(gè)設(shè)備且短時(shí)間內(nèi)高頻嘗試不同的賬號(hào)密碼組合。

解決方案

基于上面的常見登錄安全問題的共性(“短時(shí)間范圍內(nèi)” and“同一個(gè)設(shè)備”),有其對(duì)應(yīng)的明確的解決方案:

  • 通過IP限制同一個(gè)用戶的短信的請(qǐng)求上限;
  • 通過IP限制同一個(gè)用戶密碼錯(cuò)誤次數(shù)上限;
  • 通過賬號(hào)限制同一個(gè)用戶密碼錯(cuò)誤的上限。

測(cè)試用例設(shè)計(jì)

作為一個(gè)專業(yè)的測(cè)試人員,在進(jìn)行用例設(shè)計(jì)之前,除了關(guān)注UI設(shè)計(jì)稿、需求文檔外,還可以關(guān)注開發(fā)提供的技術(shù)文檔,在條件允許下能夠進(jìn)一步的了解到開發(fā)對(duì)應(yīng)的基礎(chǔ)實(shí)現(xiàn)原理,在一定程度上能夠幫助我們提高自己設(shè)計(jì)的測(cè)試用例的覆蓋度,以便于我們能夠更全面、更深入的進(jìn)行測(cè)試,從而提高我們產(chǎn)品的質(zhì)量。

從開發(fā)的技術(shù)文檔上我們不需要了解很深的技術(shù)原理,只需要了解以下幾個(gè)問題:

  • 通過什么控制登錄風(fēng)險(xiǎn)?
  • 用戶的登錄行為被判定為風(fēng)險(xiǎn)后,會(huì)有對(duì)應(yīng)的什么措施?
  • 用戶的登錄行為被判定為風(fēng)險(xiǎn)后,什么能恢復(fù)使用?
  • 有沒有可申訴的途徑?

最后根據(jù)上面這個(gè)思路補(bǔ)充對(duì)應(yīng)的功能測(cè)試用例即可,這邊簡(jiǎn)單羅列部分測(cè)試用例:

另外,在補(bǔ)充業(yè)務(wù)測(cè)試用例的同時(shí),同步可以關(guān)注對(duì)應(yīng)的接口請(qǐng)求規(guī)范,為了盡可能獲取到用戶的真實(shí)IP,接口在設(shè)計(jì)時(shí)可能會(huì)引用HTTP請(qǐng)求頭規(guī)范,要求下游在請(qǐng)求時(shí)透?jìng)鱔_FORWARDED_FOR,以此來區(qū)分真實(shí)的用戶IP。

這個(gè)可以作為一個(gè)接口測(cè)試關(guān)注點(diǎn),減少由于IP上報(bào)錯(cuò)誤而引起風(fēng)險(xiǎn)誤判,導(dǎo)致正常用戶無法正常使用產(chǎn)品功能的情況。

從HTTP請(qǐng)求中獲得用戶的真實(shí)IP地址有兩個(gè)方法,一個(gè)是從Remote Address中獲得,另一個(gè)是從X-Forward-For中獲得,但他們的安全性和使用場(chǎng)景各有不同,想要了解更多知識(shí)大家可以根據(jù)關(guān)鍵字去自行擴(kuò)展?。


分享名稱:軟件測(cè)試知識(shí)儲(chǔ)備:關(guān)于「登錄安全」的基礎(chǔ)知識(shí),你了解多少?
文章源于:http://m.5511xx.com/article/ccciceo.html