BJ-31-Quality Center-安全性
QC的安全性问题首先数据库是SQL Server,如果我们能访问QC安装的数据库就能修改密码相当于破解为空,就可以直接登录QC,对项目和软件进行修改产生安全级别问题。
第一步首先让大家知道我的QC用户名是ADMIN 密码51testing;如图1.pnf
第二步访问sql server数据库中的qcsiteadmin_db中的USERS;如图2.png
第三步打开表USERS,把表中的ADMIN的用户名密码字段修改为空;将user_password中的DEF:2jmj7l5rSw0yVb/vlWAYkK/YBwk=修改为空,关闭保存。如图3.png 4.png
第四步在QC登录用户名ADMIN密码:为空 能登录这就是QC的一个BUG,这样我们的项目很不安全,会有人进行篡改和删除,这就是安全性问题。如图5.png 這个不属于安全漏洞!所有的系统都一样!不过看你还挺认真听课的!
[ 本帖最后由 小孩 于 2010-2-2 09:17 编辑 ] 非要说是问题的话,至多能算一个安全建议。先保证你的数据库不会被轻易访问,不会被肆意登录,没有修改权限,用户密码不可为空等等一系列的设置,包括软件的硬件的乱七八糟一大堆问题……
如果创建QC系统的时候本身就接受空密码,那从根儿上这种情况就是认可的。 原帖由 gaha 于 2010-3-16 15:24 发表 http://bbs.51testing.com/images/common/back.gif
非要说是问题的话,至多能算一个安全建议。先保证你的数据库不会被轻易访问,不会被肆意登录,没有修改权限,用户密码不可为空等等一系列的设置,包括软件的硬件的乱七八糟一大堆问题……
如果创建QC系统的时候本身 ...
同上,仅作为安全建议,要说是漏洞有点牵强。
页:
[1]
