身份认证与会话管理-安全测试范围点

1.登录认证不存在绕过现象

登录重放测试

登录注入测试，目标是ldap，使用万能密码无果，尝试使用ldap进行注入尝试

不存在微信绑定的功能，所以不存在微信绕过

2.登录账户没有锁定账户功能

登录界面没有验证码功能

登录界面没有账户锁定功能，通过fiddler快速重放流量，并没有发现账户锁定现象

既然不存在账户锁定，那么也发现不存在客户端IP黑名单情况

如果有锁定账户功能，可以会给账户带来拒绝的现象，攻击者会不停的暴力破解账户，导致账户被锁定

3.内存读取测试

Web登录窗口，非https加密流量，内存读取账户和密码一般是针对软件登录窗口

4.口令测试

弱口令测试，发现不存在弱口令

密码错误次数测试，不存在校验密码错误次数限制

密码复杂度测试

5.用户枚举测试

对用户进行暴力破解

寻找登录接口或者其他接口，确认账户是否注册或者存在，利用漏洞遍历已存在的账户

撞库（凭证填充）使用其他网站的账户和密码测试登录，发现不存在此漏洞

密码喷洒 使用同一个弱口令爆破上面遍历出来的用户，或者暴力破解用户名，发现也不存在

6.认证错误模糊提示

登录窗口并非是认证模糊提示，存在明确错误提示

7.图形验证码测试

目标不存在验证码系统

8.密码找回功能/重置接口

判断用户的凭证是否存在时效性，一段时间后再测试查看用户凭证是否依然有效

确认凭证的接收端，看是否能够更改用户凭证的手机号，邮箱等等

用户凭证暴力破解，如果短信验证码较短，或者就是4位数的纯数字，就可以暴力破解

凭证序列号绑定测试，因为有的时候短信验证码会下发附带序列号，看看序列号和凭证是否是一一对应的

越权重置他人密码，Cookie混淆看看是否通过混淆Cookie来重置他人密码

查看响应中是否返回验证码

通过跳过步骤，看是否能直接访问修改密码页面

查看本地js，看是否存在客户端本地验证，就是密码修改验证逻辑再前端js脚本实现，可以根据逻辑绕过并修改密码

看是否存在弱token问题，生成的密码找回token在数据包中返回，通过将帐号和token拼接进入重置密码页面，或者未校验Token与密码找回用户的对应的关系

9.二维码登录

本次目标不粗壮乃二维码登录

查看二维码生成是在本地还是服务端，若在本地生成，检测是否可以破解生成的算法，伪造二维码，若是在服务端生成，通过Fiddler抓包捕获传输的数据，检测传输过程的二维码数据是否加密，是否可以被篡改

扫码功能登录，在扫描二维码时会直接使用浏览器打开二维码中的url地址，客户端未对url的域名进行指定和限制，当浏览器存在命令执行漏洞时扫描恶意url可能导致系统感染木马，攻击者也可能通过恶意的二维码在线下对用户进行钓鱼攻击。

扫码修改数据包任意登录

10.会话管理

Cookies属性是否存在HttpOnly，Secure

正常退出和注销的时候会话是否在服务端被清除

是否有会话超时的功能

是否存在会话固定漏洞

会话标识随机性测试，通过burpsuite进行批量测试session是否是强随机性，是否可被预测

会话并发测试

11.人脸识别

活体检测

是否可以通过分析绕过活体检测，直接通过静态方式认证。

人脸识别数据重放

人脸识别数据中是否存在随机因子，是否可以被重放。

任意人脸数据登录

结合人脸识别数据重放问题，利用他人人脸数据是否可以登录他人账户。