渗透测试步骤

(1)激活所有“记住我”功能,确定应用程序是否完全“记住”用户名和密码,还是仅记住用户名,仍然要求用户在随后的访问中输入密码。如果采用后一种设置,该功能就不大可能存在安全漏洞。

(2)仔细检查应用程序设定的所有持久性cookie,以及其他本地存储机制中的持久性数据,如IE的userData、Seilverlight的隔离存储、Flash的本地共享对象。寻找其中保存的任何明确标识出用户或明显包含可预测的用户标识符的数据。

(3)即使其中保存的数据经过严密编码或模糊处理,仔细分析这些数据,并比较“记住”几个非常类似的用户名或密码的结果,找到任何可对原始数据进行逆向工程的机会。在这里可使用将在第7章描述的用于检测会话令牌意义和模式的相同技巧。

(4)试图修改持久性cookie的内容,并设法让应用程序确信:另一名用户已经将其资料保存在你的计算机中。