J'ai mis en œuvre la connexion sécurisée et l'inscription sur mon site Web.Il travaille.Maintenant, je veux le tester.Je ne suis pas sûr de savoir comment tester s'il est correctement sécurisé.test sécurisé connexion et inscription sur SSL
Répondre
Si vous voulez vérifier si elle se casse lorsqu'il est utilisé avec SSL, vous pouvez facilement tester le conduire en téléchargeant et installant OpenSSL, suivez ce tutorial pour créer un certificat auto-signé avec OpenSSL, install votre certificat nouvellement créé sur votre web serveur (Apache, si vous utilisez LAMP ou XAMPP) et enfin redémarrez votre serveur web. Maintenant que le SSL est prêt à être utilisé, essayez d'utiliser votre formulaire de connexion via https: // et voyez ce qui se passe. Si un navigateur Web comme Firefox se plaint de votre certificat, dites-lui de créer une exception.
C'est comme ça que vous pouvez le tester sur SSL, mais pour ce qui est du «si c'est correctement sécurisé», les choses se compliquent. Assurez-vous d'avoir au moins pris en charge:
- fixation de session
- Cross-site scripting
- stockage de mot de passe sécurisé (hashing)
- injections SQL
- Protection contre brute force avec la limitation ou à l'aide CAPTCHAs
Cela dépend de ce que le site est fait, par exemple s'il utilise Apache ou s'il s'agit d'un serveur local.
- Vérifiez le site est uniquement accessible via HTTPS (si c'est ce que l'on veut)
- test d'un accès via HTTP - comportement vérifier est comme prévu (pourrait être redirection vers HTTPS, page d'erreur ou un message d'avertissement .. .)
- essayez d'accéder au site sans passer à travers la page de connexion (URL-à-dire forger)
- Ouvrir une session, essayez d'y accéder d'un autre client sans vous connecter.
- test pour les mots de passe « évidents » (test/test, admin/admin)
- Vérifiez que vous ne pouvez pas vous connecter sans nom d'utilisateur vide/mot de passe
- verify ne peut pas accéder à la clé privée du système
- verify ne peut pas accéder à tous les fichiers du système (par exemple http://website.address/../../../../etc/passwd)
- ...
Vous pouvez également utiliser une suite de tests de sécurité de site Web, voir this list par insecure.org, il existe des produits commerciaux et des outils gratuits/open source. À mon humble avis, vous ne devriez pas essayer de tester SSL, car il s'agit d'un outil tiers.
- 1. Connexion SSL et enregistrement sur JSONP
- 2. Connexion SSL à des fins de test
- 3. SSL Connexion dans iFrame
- 4. Connexion/Inscription Ruby on Rails?
- 5. Test du certificat SSL pour le test SSL MQ
- 6. cookie par défaut non sécurisé mais sécurisé en SSL
- 7. authorizet.net test local et certificat ssl
- 8. Comment envoyer un fichier via protocole FTP sécurisé SSL
- 9. Connexion de socket SSL sur l'iPhone
- 10. ssl sur le formulaire de connexion?
- 11. iPhone - Connexion SSL
- 12. créer une connexion sécurisée avec php et ssl
- 13. Besoin d'un certificat SSL pour la connexion au service Web sécurisé
- 14. Informations de connexion sécurisées sans SSL
- 15. gwt ajax ssl connexion
- 16. MySQL INSCRIPTION SUR avec WHERE
- 17. connexion au servlet via SSL
- 18. Silverlight: la connexion au service ASMX sécurisé
- 19. Ce schéma de connexion est-il sécurisé?
- 20. ASP.NET et la connexion sous-jacente ont été fermés: Impossible d'établir une relation d'approbation pour le canal sécurisé SSL/TLS
- 21. Inscription/système de connexion pour multi-domaine/multi-serveur
- 22. "Impossible d'établir un canal sécurisé pour SSL/TLS" dans l'application .NET CF sur téléphone intelligent
- 23. Informations sur SSL et apache
- 24. Test de connexion UDP sur BlackBerry Simulator
- 25. Intégration de Connexion/Inscription Facebook Connect avec l'application Zend Framework
- 26. Connexion Membre sécurisé en utilisant des cookies
- 27. Test du site ASP.NET localement avec SSL sur IIS 5.1
- 28. Inscription à un port?
- 29. PHP inscription email-valider le script de connexion/classe
- 30. Connexion sécurisée AJAX/caractère nul SSL cert attaque?
Il s'agit plutôt d'essais de fonctionnement ou d'acceptation que de tests unitaires. – philant
très probablement votre connexion n'est pas sécurisée. Avez-vous par exemple pensé à SSL, XSS, CSRF, pas stocker le mot de passe en clair, mais utiliser quelque chose comme phpass, pour ne citer que quelques choses qui pourraient mal tourner. Vous devriez utiliser OpenID/facebook connect à la place pour sécuriser votre site. – Alfred