帮忙看看这段脚本是不是证明校验码有漏洞？

笨鸟 · 发表于 2006-11-20 17:25:16

我是Loadrunner新手，现在用8.0版自学。我试着录制了用户登陆网站的步骤，脚本里出现了下面的一句：
    "Name=hiddencode", "Value=8646", ENDITEM,
   "Name=userempty", "Value=用户名不能为空!", ENDITEM,
   "Name=passempty", "Value=密码不能为空!", ENDITEM,
   "Name=codeempty", "Value=附加码不能为空!", ENDITEM,
   "Name=codeerror", "Value=附加码错误！", ENDITEM,
   "Name=username", "Value=admin", ENDITEM,
   "Name=password", "Value=888888", ENDITEM,
   "Name=code", "Value=8646", ENDITEM,
   "Name=Submit", "Value=登录", ENDITEM,

其中Name=hiddencode中，value值能看到，是不是证明校验码能被抓到，有严重的漏洞？

cat_zhang · 发表于 2006-11-20 18:37:34

我好象看到过这个问题,大致是可以把这个VALUE的值参数化为******,后台读去数据的,如果没有记错的化大致是这个样子

xingcyx · 发表于 2006-11-21 11:32:04

你录制的时候输入了这个代码，loadrunner能抓得到是很正常的，不是什么漏洞。
校验码是为了防止恶意攻击而设置的东东，不是密码。

笨鸟 · 发表于 2006-11-21 11:42:32

谢谢楼上的两位sdlkfj2
给校验码设置参数的话，用那种类型合适？file类型？

xingcyx · 发表于 2006-11-21 12:38:55

汗，这已经是我第xxxxxx次看到这个问题了。
给校验码设置参数是没有用的，服务器每次都会产生一个随机的码，你不知道它返回的是什么，怎么设参数？

fy_dodo · 发表于 2006-11-22 09:54:20

手动做关联，就可以解决问题了sdlkfj2

bingbingyang11 · 发表于 2006-11-22 10:28:47

做关联，解决什么问题呢？
不明白楼上说的什么意思？
是说明做完关联后，就能知道校验码是能抓住做参数化呢？还是别的什么
xingcyx 5#说的很正确，校验码是不能参数化的，因为不知道服务器给的是个什么值
做关联的作用是让脚本在回放的过程中，设置个动态的值，与以前录制脚本时服务器所给的值不同，这样，录制的脚本可以顺利执行并不能说明这个值可以抓住呀

xingcyx · 发表于 2006-11-22 10:57:44

做关联是没有办法解决校验码问题的。
校验码通常是以图片的形式，它其实就是为了防止一些黑客工具（顺便提一句：LoadRunner在我看来就是一个黑客工具，呵呵）的恶意攻击而设置的。试想如果可以这么轻易的用关联解决，那校验码还有什么作用呢？

melonboy · 发表于 2006-11-22 17:39:53

当验证码为文字时，在浏览器返回的静态页面中可以得到，通过关联的方法可以读出来，也就是说，是可以参数化的，但如果是图片，那么可能就费点事了，但也应该可以进行参数话的，希望有这方面经验的朋友来接着说明！！！

beibeilan1 · 发表于 2006-12-21 19:12:37

那应该怎么做，才能回放成功呢？？
有人知道吗？？？

xingcyx · 发表于 2006-12-22 09:33:08

第XXXXXX+1次回答这个问题：
去掉验证码。

mole_ai · 发表于 2006-12-22 09:33:40

我也是刚刚开始学习LR，觉得LZ的问题只能修改一下页面代码！跳过验证码，因为验证码对于只是为了网页安全，防止恶意的登陆或者注册的，所以个人认为在测试的时候可以跳过。不知道说的对不对。

glitgirl · 发表于 2006-12-30 11:24:20

说的很对,呵呵,或者去开发人员那要个万能验证码,嘻嘻

zhidongpop · 发表于 2006-12-31 10:08:45

都是大明白，表扬！

netcat · 发表于 2007-1-5 16:54:26

11#+13#说的加起来采用一个办法就解决了

		自动登录	找回密码
密码			(注-册)加入51Testing

[原创] 帮忙看看这段脚本是不是证明校验码有漏洞？

相关帖子

站长推荐 /1