51Testing软件测试论坛

标题: 帮忙看看这段脚本是不是证明校验码有漏洞？ [打印本页]

作者: 笨鸟 时间: 2006-11-20 17:25
标题: 帮忙看看这段脚本是不是证明校验码有漏洞？
我是Loadrunner新手，现在用8.0版自学。我试着录制了用户登陆网站的步骤，脚本里出现了下面的一句：
    "Name=hiddencode", "Value=8646", ENDITEM,
   "Name=userempty", "Value=用户名不能为空!", ENDITEM,
   "Name=passempty", "Value=密码不能为空!", ENDITEM,
   "Name=codeempty", "Value=附加码不能为空!", ENDITEM,
   "Name=codeerror", "Value=附加码错误！", ENDITEM,
   "Name=username", "Value=admin", ENDITEM,
   "Name=password", "Value=888888", ENDITEM,
   "Name=code", "Value=8646", ENDITEM,
   "Name=Submit", "Value=登录", ENDITEM,

其中Name=hiddencode中，value值能看到，是不是证明校验码能被抓到，有严重的漏洞？

作者: cat_zhang 时间: 2006-11-20 18:37
我好象看到过这个问题,大致是可以把这个VALUE的值参数化为******,后台读去数据的,如果没有记错的化大致是这个样子

作者: xingcyx 时间: 2006-11-21 11:32
你录制的时候输入了这个代码，loadrunner能抓得到是很正常的，不是什么漏洞。
校验码是为了防止恶意攻击而设置的东东，不是密码。

作者: 笨鸟 时间: 2006-11-21 11:42
谢谢楼上的两位sdlkfj2
给校验码设置参数的话，用那种类型合适？file类型？

作者: xingcyx 时间: 2006-11-21 12:38
汗，这已经是我第xxxxxx次看到这个问题了。
给校验码设置参数是没有用的，服务器每次都会产生一个随机的码，你不知道它返回的是什么，怎么设参数？

作者: fy_dodo 时间: 2006-11-22 09:54
手动做关联，就可以解决问题了sdlkfj2

作者: bingbingyang11 时间: 2006-11-22 10:28
做关联，解决什么问题呢？
不明白楼上说的什么意思？
是说明做完关联后，就能知道校验码是能抓住做参数化呢？还是别的什么
xingcyx 5#说的很正确，校验码是不能参数化的，因为不知道服务器给的是个什么值
做关联的作用是让脚本在回放的过程中，设置个动态的值，与以前录制脚本时服务器所给的值不同，这样，录制的脚本可以顺利执行并不能说明这个值可以抓住呀

作者: xingcyx 时间: 2006-11-22 10:57
做关联是没有办法解决校验码问题的。
校验码通常是以图片的形式，它其实就是为了防止一些黑客工具（顺便提一句：LoadRunner在我看来就是一个黑客工具，呵呵）的恶意攻击而设置的。试想如果可以这么轻易的用关联解决，那校验码还有什么作用呢？

作者: melonboy 时间: 2006-11-22 17:39
当验证码为文字时，在浏览器返回的静态页面中可以得到，通过关联的方法可以读出来，也就是说，是可以参数化的，但如果是图片，那么可能就费点事了，但也应该可以进行参数话的，希望有这方面经验的朋友来接着说明！！！

作者: beibeilan1 时间: 2006-12-21 19:12
那应该怎么做，才能回放成功呢？？
有人知道吗？？？

作者: xingcyx 时间: 2006-12-22 09:33
第XXXXXX+1次回答这个问题：
去掉验证码。

作者: mole_ai 时间: 2006-12-22 09:33
我也是刚刚开始学习LR，觉得LZ的问题只能修改一下页面代码！跳过验证码，因为验证码对于只是为了网页安全，防止恶意的登陆或者注册的，所以个人认为在测试的时候可以跳过。不知道说的对不对。

作者: glitgirl 时间: 2006-12-30 11:24
说的很对,呵呵,或者去开发人员那要个万能验证码,嘻嘻

作者: zhidongpop 时间: 2006-12-31 10:08
都是大明白，表扬！

作者: netcat 时间: 2007-1-5 16:54
11#+13#说的加起来采用一个办法就解决了

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)