为什么登陆密码含有空格不安全呢?
场景:用户名:user
密码:111
验证码:8555
在登陆的时候输入:
用户名:user
密码: 111 (密码前后可含有任意个空格,密码总长控制在20位)
验证码:8555(验证码前后也可以输入空格)
结果:登陆成功
我记得看测试用例时说如果密码中含有空格是不安全的,为啥?这个登陆程序中没有过滤掉空格信息,会不会有安全的漏洞? 没听说过 没有吧。
我之前测过的系统密码都是经过MD5加密后存入数据库的,用户登录的时候把用户输入的密码进行MD5加密后再与数据库中的密码比较,这时候不管是什么字符,都不会影响安全的。
一些密码没有经过加密的系统可能会限制某些特殊字符,因为不好操作等各种原因吧,但是空格肯定不会影响安全。估计你把弱口令跟这个理解混了。 只是建议吧 主要看对系统有没有破坏性,具体问题具体分析,没有绝对的 我觉得应该把空格过滤掉,之前我在测这个东西的时候,我把含空格的情况都是pass掉的。 只是过滤空格而已~~ 看来有空格也不是绝对不允许的啊,有篇登录、注册的测试方法的文章中讲到了验证是否含有空格,这个验证点让我费解
页:
[1]
