51Testing软件测试论坛

标题: 为什么登陆密码含有空格不安全呢？ [打印本页]

作者: 测霸 时间: 2010-11-15 19:38
标题: 为什么登陆密码含有空格不安全呢？
场景：
用户名：user
密码：111
验证码：8555

在登陆的时候输入：
用户名：user
密码： 111 （密码前后可含有任意个空格，密码总长控制在20位）
验证码：8555（验证码前后也可以输入空格）

结果：登陆成功
我记得看测试用例时说如果密码中含有空格是不安全的，为啥？这个登陆程序中没有过滤掉空格信息，会不会有安全的漏洞？

作者: msnshow 时间: 2010-11-15 20:04
没听说过

作者: 男孩子 时间: 2010-11-16 17:36
没有吧。
我之前测过的系统密码都是经过MD5加密后存入数据库的，用户登录的时候把用户输入的密码进行MD5加密后再与数据库中的密码比较，这时候不管是什么字符，都不会影响安全的。
一些密码没有经过加密的系统可能会限制某些特殊字符，因为不好操作等各种原因吧，但是空格肯定不会影响安全。估计你把弱口令跟这个理解混了。

作者: cncnily 时间: 2010-11-17 11:13
只是建议吧

作者: msnshow 时间: 2010-11-17 19:37
主要看对系统有没有破坏性，具体问题具体分析，没有绝对的

作者: 月上百合 时间: 2010-11-17 19:43
我觉得应该把空格过滤掉，之前我在测这个东西的时候，我把含空格的情况都是pass掉的。

作者: nieryy2009 时间: 2010-11-19 13:26
只是过滤空格而已~~

作者: 测霸 时间: 2010-11-23 16:06
看来有空格也不是绝对不允许的啊，有篇登录、注册的测试方法的文章中讲到了验证是否含有空格，这个验证点让我费解

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)