渗透测试步骤

(1)如果一个登录阶段使用一个随机变化的问题,确定问题本身是否和回答一起提交。如果是这样,改变这个问题并提交正确答案,看看是否仍然能够成功登录。

(2)如果应用程序并不允许攻击者提交任意问题和答案,用同一个账户进行部分登录,每次进行到出现不同的问题为止。如果每次都出现不同的问题,那么攻击者仍然能够选择回答哪个问题。