网站登陆入口测试方法分享

这篇文章来自社区攻防实验室-

网站登录功能是一个重要的点，如果条件允许，可以进行详细的测试。

主要使用工具：burpsuite

一些测试要点：

                           1.用户名/账号能否枚举？

                           2.密码能爆破吗？

                           3.是否有弱密码

                           4.有无验证码&能否绕过验证码

                           5.是否有注册功能

                           6.密码找回功能是否存在

                           7.是否有修改密码的功能

                           8.......

说明：

1.用户名/账户是否可以列出，这取决于网站的具体类型。例如，学校网站。学校网站的登录入口可能是网络接入入口、图书馆、学生信息系统等。这样的网站登录账户通常是学生的学生号码，身份证号码是最后六个。这些信息是通过信息收集获得的。

2.密码能否爆破，这一点非常直观。最理想的情况是目标网站登录入口没有验证码，登录次数没有限制，网站没有waf等防护工具，或者防护规则没有防爆破，这种情况下，可以直接去爆破，爆破也是需要根据具体情况来，并不是无脑上字典。根据网站类型，对收集到的一些人员信息当成字典。

3.弱密码，很直接，除了常规能想到的admin/admin，admin/123456等，也可能有全名拼写、网站名称缩写等，需要根据情况灵活测试。

4.有些网站登录入口的验证码不会刷新或只是一张图片，验证码基本无效，可以爆破。当然，使用正常的验证码python也可以识别绕过，但目前还没有，应该很麻烦，暂时不考虑。

5.如果有注册功能，可以自己注册测试账户，登录查看有哪些功能。比如有上传头像，可以试着直接上传。webshell。还可以测试是否有越权。

6.密码检索功能可在确认账户名称时使用。查看请求包和返回包。在极其理想的情况下，任何密码重置都可以通过修改返回包来实现。也可以配合越权使用。如果有注册功能，可以使用注册测试账户，观察请求包返回包，测试其他用户的密码是否可以使用越权重。

7.修改密码和找回密码基本多，就不多说了。

以上是逻辑测试点。当然，网站登录入口还有其他漏洞：

                               1.万能密码

                           2.注入

这里注入的大部分情况是post注入，根据实际情况进行测试，有的会有update注入，这是曾经遇到

目前想的那么多，本文只记录了一些想法，没有详细的技术说明……