考点介绍：

在移动互联网时代，短信验证码成为安全认证的重要途径。伴随着短信验证码的广泛应用，如何对其进行正确的测试是必不可少的。

答案详情解析和文章内容可扫下方二维码或链接即可查看！

一、考点试题

1.登录处存在的逻辑漏洞有哪些？

解答：一、可以暴力破解用户名或密码

没有验证码机制，没有根据用户名限制失败次数，没有根据ip限制失败次数等等。

1.通常思路：

直接拿密码字典爆破某一个用户名。

拿固定的弱口令密码，去跑topxxx的用户名。

如果只是用户名限制失败次数，可以使用思路2的方法。

在存在返回提示用户名错误或者密码错误的情况下，可以分别爆用户名和密码......

2.验证码处存在的逻辑漏洞有哪些？

解答：一、登录验证码未刷新

没有清空session中的验证码信息。

通常思路：

1.抓包多次重放，看结果是否会返回验证码错误，如没有返回验证码错误则存在未刷新

2.观察检验的处理业务，如果验证码和用户名密码是分2次http请求校验，则也可以爆破用户名和验证码......

二、考点文章

1.【校招VIP】短信登录功能测试用例

主流程：输入正确的已注册过的手机号码，点击获取验证码，查看手机是否收到短信。收到短信后立即输入验证码，检查是否进行页面跳转到首界面.......

2.【校招VIP】渗透测试面试题大集合(详解)

1、什么是逻辑漏洞？

所有Web应用程序各种功能都是通过代码逻辑实现。任何Web应用程序，都可能存在大量逻辑操作，这些逻辑就是一个复杂的攻击面。

由于逻辑漏洞攻击特征不明显，许多自动化的扫描工具或者代码审计工具，都只能扫出类似SQL注入、XSS等常规的漏洞，难以发现逻辑漏洞......

3.【校招VIP】python利用第三方模块，发送短信验证码（测试案例）

今天学到个利用python第三方，发送短信验证码的代码，速实现一遍，短信立即收到，果断记录在案！

环境：虚拟机上centos7平台，python2.7版本......

三、考点视频

等价类是测试职位最有效直接的理论点