51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3152|回复: 14
打印 上一主题 下一主题

[原创] 帮忙看看这段脚本是不是证明校验码有漏洞?

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2006-11-20 17:25:16 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
我是Loadrunner新手,现在用8.0版自学。我试着录制了用户登陆网站的步骤,脚本里出现了下面的一句:
      "Name=hiddencode", "Value=8646", ENDITEM,
      "Name=userempty", "Value=用户名不能为空!", ENDITEM,
      "Name=passempty", "Value=密码不能为空!", ENDITEM,
      "Name=codeempty", "Value=附加码不能为空!", ENDITEM,
      "Name=codeerror", "Value=附加码错误!", ENDITEM,
      "Name=username", "Value=admin", ENDITEM,
      "Name=password", "Value=888888", ENDITEM,
      "Name=code", "Value=8646", ENDITEM,
      "Name=Submit", "Value=登录", ENDITEM,

其中Name=hiddencode中,value值能看到,是不是证明校验码能被抓到,有严重的漏洞?
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2006-11-20 18:37:34 | 只看该作者
我好象看到过这个问题,大致是可以把这个VALUE的值参数化为******,后台读去数据的,如果没有记错的化大致是这个样子
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2006-11-21 11:32:04 | 只看该作者
你录制的时候输入了这个代码,loadrunner能抓得到是很正常的,不是什么漏洞 。
校验码是为了防止恶意攻击而设置的东东,不是密码。
回复 支持 反对

使用道具 举报

该用户从未签到

4#
 楼主| 发表于 2006-11-21 11:42:32 | 只看该作者
谢谢楼上的两位sdlkfj2
给校验码设置参数的话,用那种类型合适?file类型?
回复 支持 反对

使用道具 举报

该用户从未签到

5#
发表于 2006-11-21 12:38:55 | 只看该作者
汗,这已经是我第xxxxxx次看到这个问题了。
给校验码设置参数是没有用的,服务器每次都会产生一个随机的码,你不知道它返回的是什么,怎么设参数?
回复 支持 反对

使用道具 举报

该用户从未签到

6#
发表于 2006-11-22 09:54:20 | 只看该作者
手动做关联,就可以解决问题了sdlkfj2
回复 支持 反对

使用道具 举报

该用户从未签到

7#
发表于 2006-11-22 10:28:47 | 只看该作者
做关联,解决什么问题呢?
不明白楼上说的什么意思?
是说明做完关联后,就能知道校验码是能抓住做参数化呢?还是别的什么
xingcyx 5#说的很正确,校验码是不能参数化的,因为不知道服务器给的是个什么值
做关联的作用是让脚本在回放的过程中,设置个动态的值,与以前录制脚本时服务器所给的值不同,这样,录制的脚本可以顺利执行并不能说明这个值可以抓住呀
回复 支持 反对

使用道具 举报

该用户从未签到

8#
发表于 2006-11-22 10:57:44 | 只看该作者
做关联是没有办法解决校验码问题的。
校验码通常是以图片的形式,它其实就是为了防止一些黑客工具(顺便提一句:LoadRunner在我看来就是一个黑客工具,呵呵)的恶意攻击而设置的。试想如果可以这么轻易的用关联解决,那校验码还有什么作用呢?
回复 支持 反对

使用道具 举报

该用户从未签到

9#
发表于 2006-11-22 17:39:53 | 只看该作者
当验证码为文字时,在浏览器返回的静态页面中可以得到,通过关联的方法可以读出来,也就是说,是可以参数化的,但如果是图片,那么可能就费点事了,但也应该可以进行参数话的,希望有这方面经验的朋友来接着说明!!!
回复 支持 反对

使用道具 举报

该用户从未签到

10#
发表于 2006-12-21 19:12:37 | 只看该作者
那应该怎么做,才能回放成功呢??
有人知道吗???
回复 支持 反对

使用道具 举报

该用户从未签到

11#
发表于 2006-12-22 09:33:08 | 只看该作者
第XXXXXX+1次回答这个问题:
去掉验证码。
回复 支持 反对

使用道具 举报

该用户从未签到

12#
发表于 2006-12-22 09:33:40 | 只看该作者
我也是刚刚开始学习LR,觉得LZ的问题只能修改一下页面代码!跳过验证码,因为验证码对于只是为了网页安全,防止恶意的登陆或者注册的,所以个人认为在测试的时候可以跳过。不知道说的对不对。
回复 支持 反对

使用道具 举报

该用户从未签到

13#
发表于 2006-12-30 11:24:20 | 只看该作者
说的很对,呵呵,或者去开发人员那要个万能验证码,嘻嘻
回复 支持 反对

使用道具 举报

该用户从未签到

14#
发表于 2006-12-31 10:08:45 | 只看该作者
都是大明白,表扬!
回复 支持 反对

使用道具 举报

该用户从未签到

15#
发表于 2007-1-5 16:54:26 | 只看该作者
11#+13#说的加起来采用一个办法就解决了
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-25 23:23 , Processed in 0.088030 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表