通过SSL测试安全登录和注册

Question

我已经在我的网站上实现了安全登录和注册。它正在工作。现在我想测试它。我不知道如何测试它是否被正确保护。

Answer 1

如果您想测试它是否在与SSL一起使用时中断，您可以通过下载并安装OpenSSL轻松测试它，按照此tutorial创建一个使用OpenSSL的自签名证书，{ {3}}您在Web服务器上新创建的证书（Apache，如果您使用的是LAMP或XAMPP），最后重新启动Web服务器。现在您已准备好使用SSL，尝试通过https：//使用您的登录表单，看看会发生什么。如果像Firefox这样的网络浏览器抱怨你的证书，请告诉它创建一个例外。

这就是你可以通过SSL测试它的方法，但至于“它是否被正确保护”，事情变得更加困难。确保你至少得到了照顾：

• 会话固定
• 跨站点脚本
• 安全密码存储（散列）
• SQL注入
• 通过节流或使用CAPTCHA防止暴力强制

Answer 2

这取决于网站的构成，例如，如果它使用的是Apache，或者它是一个本土的服务器。

• 验证网站只能通过HTTPS访问（如果这是您想要的）
• 通过HTTP测试访问权限 - 验证行为符合预期（可能会重定向到HTTPS，错误页面或警告消息......）
• 尝试访问网站而不通过登录页面（即伪造网址）
• 打开会话，尝试从其他客户端访问它而无需登录。
• 测试“明显”密码（test / test，admin / admin）
• 验证您无法在没有空用户名/密码的情况下登录
• 确认无法访问系统的私钥
• 确认无法访问系统的所有文件（例如http://website.address/../../../../etc/passwd）
• ...

您还可以使用网站安全测试套件，请参阅insecure.org的this list，有商业产品和免费/开源工具。

恕我直言，你不应该尝试测试SSL，因为这是第三方工具。