51Testing软件测试论坛

标题: BJ-31-Quality Center-安全性 [打印本页]

作者: 050100cui 时间: 2010-2-2 00:00
标题: BJ-31-Quality Center-安全性
QC的安全性问题
首先数据库是SQL Server，如果我们能访问QC安装的数据库就能修改密码相当于破解为空，就可以直接登录QC，对项目和软件进行修改产生安全级别问题。
第一步首先让大家知道我的QC用户名是ADMIN 密码51testing;如图1.pnf

第二步访问sql server数据库中的qcsiteadmin_db中的USERS；如图2.png
第三步打开表USERS，把表中的ADMIN的用户名密码字段修改为空；将user_password中的DEF:2jmj7l5rSw0yVb/vlWAYkK/YBwk=修改为空,关闭保存。如图3.png 4.png
第四步在QC登录用户名ADMIN密码：为空能登录这就是QC的一个BUG,这样我们的项目很不安全，会有人进行篡改和删除，这就是安全性问题。如图5.png

作者: 小孩 时间: 2010-2-2 09:15
這个不属于安全漏洞！所有的系统都一样！不过看你还挺认真听课的！

[ 本帖最后由小孩于 2010-2-2 09:17 编辑 ]

作者: gaha 时间: 2010-3-16 15:24
非要说是问题的话，至多能算一个安全建议。先保证你的数据库不会被轻易访问，不会被肆意登录，没有修改权限，用户密码不可为空等等一系列的设置，包括软件的硬件的乱七八糟一大堆问题……
如果创建QC系统的时候本身就接受空密码，那从根儿上这种情况就是认可的。

作者: archonwang 时间: 2010-3-17 09:46

原帖由 gaha 于 2010-3-16 15:24 发表
非要说是问题的话，至多能算一个安全建议。先保证你的数据库不会被轻易访问，不会被肆意登录，没有修改权限，用户密码不可为空等等一系列的设置，包括软件的硬件的乱七八糟一大堆问题……
如果创建QC系统的时候本身 ...

同上，仅作为安全建议，要说是漏洞有点牵强。

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)