测霸 发表于 2010-11-15 19:38:51

为什么登陆密码含有空格不安全呢?

场景:
    用户名:user
    密码:111
    验证码:8555

在登陆的时候输入:
    用户名:user
    密码: 111 (密码前后可含有任意个空格,密码总长控制在20位)
    验证码:8555(验证码前后也可以输入空格)

结果:登陆成功
    我记得看测试用例时说如果密码中含有空格是不安全的,为啥?这个登陆程序中没有过滤掉空格信息,会不会有安全的漏洞?

msnshow 发表于 2010-11-15 20:04:11

没听说过

男孩子 发表于 2010-11-16 17:36:43

没有吧。
我之前测过的系统密码都是经过MD5加密后存入数据库的,用户登录的时候把用户输入的密码进行MD5加密后再与数据库中的密码比较,这时候不管是什么字符,都不会影响安全的。
一些密码没有经过加密的系统可能会限制某些特殊字符,因为不好操作等各种原因吧,但是空格肯定不会影响安全。估计你把弱口令跟这个理解混了。

cncnily 发表于 2010-11-17 11:13:17

只是建议吧

msnshow 发表于 2010-11-17 19:37:56

主要看对系统有没有破坏性,具体问题具体分析,没有绝对的

月上百合 发表于 2010-11-17 19:43:23

我觉得应该把空格过滤掉,之前我在测这个东西的时候,我把含空格的情况都是pass掉的。

nieryy2009 发表于 2010-11-19 13:26:01

只是过滤空格而已~~

测霸 发表于 2010-11-23 16:06:53

看来有空格也不是绝对不允许的啊,有篇登录、注册的测试方法的文章中讲到了验证是否含有空格,这个验证点让我费解
页: [1]
查看完整版本: 为什么登陆密码含有空格不安全呢?