知识宝库在此藏,一键关注获宝藏
付费文章均会免费移至知识星球,有需要的朋友可查看"加入我的知识星球,开启知识学习之旅"!
首先应用系统有B/S与C/S之分,我们先简单了解一下两者的概念。
B/S架构(Browser/Server架构):是一种基于浏览器和服务器的系统架构。它将应用程序的核心逻辑和数据处理放在服务器端,通过浏览器作为客户端来访问和使用。在B/S架构中,用户只需通过浏览器访问网页就可以使用系统的功能,无需安装和管理客户端软件。例如,网上购物网站、在线银行系统都是采用B/S架构。
C/S架构(Client/Server架构):是一种基于客户端和服务器的系统架构。它将应用程序的核心逻辑和数据处理分布在客户端和服务器端。在C/S架构中,客户端负责与用户的交互操作,向服务器发送请求并接收响应,而服务器则负责处理请求、执行业务逻辑和存储数据。客户端通常是安装在用户计算机上的软件程序,可以提供更强大的功能和更好的性能。例如,微信、QQ等即时通讯软件就是采用C/S架构。
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1. 身份标识和鉴别
通过用户名+口令的方式
2) 后台
用户名+口令
该条一般可登录后台进行验证(注意:带有修改属性的操作均需要经配合人员允许,并让其进行操作)
尝试使用相同的用户名尝试添加,查看是否能创建成功
前台用户也一样 会员管理 → 会员管理 → 添加会员
3. 身份鉴别信息具有复杂度
这个一般先去后台查看是否有"系统管理"类似名字的菜单栏,查看是否有密码复杂度设置功能
像我们安装的这个系统就没有相应的密码复杂度校验功能,一般就只能通过新建账户的方式来确认系统是否有强制要求
经测试该系统仅要求5-16位字符
4. 身份鉴别信息定期更换
这个鉴别信息定期更换功能,一般系统中不会做这种功能,会影响用户体验。询问管理人员是否定期更换口令,是否有对应的强制策略或者日志记录作为证据。
例如该系统用户口令修改后,日志中仅记录了url参数,并无详细内容说明口令更改。
只要在编辑用户栏这修改数据,都会被日志记录,但未记录具体操作。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
-
登录失败处理功能
首先查看后台管理中是否带有登录失败处理功能的设置选项,如果没有,建议使用测试账户进行测试,尝试10次登录否是否会被锁定。(注意:带有修改属性的操作均需要经配合人员允许,并让其进行操作)
例如该系统无直接配置登录失败处理功能的设置选项,但经测试,连续登录失败5次后会锁定整个后台,锁定时间为1天。
当然如果能联系到写代码的开发人员,询问一下对方设置登录失败处理功能的代码在哪,截图查看是最可信有力的证据,例如这里的配置文件在 data/config/config.php
如果后台被锁了,就将5的数值调大一些。它这个系统判定的有点怪,居然是所整个后台,而不是锁定对应帐号。
这个一般在应用系统中没有直观的设置,并且大多系统也不会做这个操作超时自动退出限制。例如我们平常登录的一些常用网站,比如购物、影视网站等,如果过一会就要求你重新登录验证,那肯定也会影响用户体验。
所以这条建议能找开发要相应参数的,叫他截图取证,如果没有的话可自行尝试挂机不操作30分钟后,刷新网页看是否会要求重新进行身份鉴别。
原文始发于微信公众号(等保不好做啊):等保2.0测评 — 应用系统
评论