为什么登陆密码含有空格不安全呢？

测霸 · 发表于 2010-11-15 19:38:51

场景：
用户名：user
密码：111
验证码：8555

在登陆的时候输入：
用户名：user
密码： 111 （密码前后可含有任意个空格，密码总长控制在20位）
验证码：8555（验证码前后也可以输入空格）

结果：登陆成功
我记得看测试用例时说如果密码中含有空格是不安全的，为啥？这个登陆程序中没有过滤掉空格信息，会不会有安全的漏洞？

msnshow · 发表于 2010-11-15 20:04:11

没听说过

男孩子 · 发表于 2010-11-16 17:36:43

没有吧。
我之前测过的系统密码都是经过MD5加密后存入数据库的，用户登录的时候把用户输入的密码进行MD5加密后再与数据库中的密码比较，这时候不管是什么字符，都不会影响安全的。
一些密码没有经过加密的系统可能会限制某些特殊字符，因为不好操作等各种原因吧，但是空格肯定不会影响安全。估计你把弱口令跟这个理解混了。

cncnily · 发表于 2010-11-17 11:13:17

只是建议吧

msnshow · 发表于 2010-11-17 19:37:56

主要看对系统有没有破坏性，具体问题具体分析，没有绝对的

月上百合 · 发表于 2010-11-17 19:43:23

我觉得应该把空格过滤掉，之前我在测这个东西的时候，我把含空格的情况都是pass掉的。

nieryy2009 · 发表于 2010-11-19 13:26:01

只是过滤空格而已~~

测霸 · 发表于 2010-11-23 16:06:53

看来有空格也不是绝对不允许的啊，有篇登录、注册的测试方法的文章中讲到了验证是否含有空格，这个验证点让我费解

		自动登录	找回密码
密码			(注-册)加入51Testing

为什么登陆密码含有空格不安全呢？

相关帖子

站长推荐 /1