Unit testing 通过SSL测试安全登录和注册
我已经在我的网站上实现了安全登录和注册。它正在工作。现在我想测试它。我不确定如何测试它是否正确安全。如果你想测试它在与SSL一起使用时是否会损坏,你可以通过下载和安装轻松地测试它,按照下面的步骤使用OpenSSL创建一个自签名证书,在web服务器(Apache,如果您使用的是LAMP或XAMPP)上新创建的证书,最后重新启动web服务器。现在您已经准备好使用SSL了,请尝试通过https://使用您的登录表单,看看会发生什么。如果像Firefox这样的web浏览器抱怨您的证书,请告诉它创建一个异常 这就是通过SSL测试它的方法,但至于“它是否正确安全”,事情就变得更难了。确保您至少已注意到:Unit testing 通过SSL测试安全登录和注册,unit-testing,authentication,ssl,registration,Unit Testing,Authentication,Ssl,Registration,我已经在我的网站上实现了安全登录和注册。它正在工作。现在我想测试它。我不确定如何测试它是否正确安全。如果你想测试它在与SSL一起使用时是否会损坏,你可以通过下载和安装轻松地测试它,按照下面的步骤使用OpenSSL创建一个自签名证书,在web服务器(Apache,如果您使用的是LAMP或XAMPP)上新创建的证书,最后重新启动web服务器。现在您已经准备好使用SSL了,请尝试通过https://使用您的登录表单,看看会发生什么。如果像Firefox这样的web浏览器抱怨您的证书,请告诉它创建一个异
- 会话固定
- 跨站点脚本
- 安全密码存储(哈希)
- SQL注入
- 通过节流或使用CAPTCHA防止暴力强迫
- 验证站点只能通过HTTPS访问(如果需要)
- 通过HTTP测试访问-验证行为是否符合预期(可能是重定向到HTTPS、错误页面或警告消息…)
- 尝试在不通过登录页面(即伪造URL)的情况下访问网站
- 打开会话,尝试在不登录的情况下从其他客户端访问它
- 测试“明显”密码(测试/测试,管理员/管理员)
- 验证没有空用户名/密码您无法登录
- 验证无法访问系统的私钥
- 验证无法访问系统的所有文件(例如)
恕我直言,您不应该尝试测试SSL,因为这是一个第三方工具 这是功能测试或验收测试,而不是单元测试。很可能您的登录不安全。例如,您是否考虑过SSL、XSS、CSRF,不以明文形式存储密码,而是使用phpass之类的东西,来列举一些可能出错的事情。你应该使用OpenID/facebook连接来确保网站的安全。