# 004.测验.情景之迷你用户验证
用户信息被拖库,是攻城狮的耻辱,也使整个行业蒙羞。
耻辱柱上,已经钉过了CSDN,小米和某些票贩子网站。
@史荣久 / 2015-01-05 / CC-BY-SA-3.0
## 任务说明
本次练习是一个迷你版的用户模块,目标是用户验证。
用户模块,最低级错误有:(1)被注入(2)存明文。
算法上,要用慢算法防强暴,要加盐防用户密码太傻。
通常的用户模块,是独立的三块,等价于以下三张表。
(1)信息表(USER_INFORMATION),存用户信息。
(2)验证表(USER_AUTHENTICATION),存验证信息。
(3)授权表(USER_AUTHORIZATION),存权限信息。
题外话:在发达地区,泄露用户信息会被法律制裁。
我们正在发展的路上,所以安全意识一定要接轨。
## 数据关系
CREATE TABLE IF NOT EXISTS `USER_INFORMATION` (
`UID` INT(11) NOT NULL COMMENT '用户ID',
`SURNAME` VARCHAR(50) NOT NULL COMMENT '姓',
`GVNNAME` VARCHAR(50) NOT NULL COMMENT '名',
`BIRTHDAY` DATE NOT NULL COMMENT '生日',
PRIMARY KEY (`UID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = utf8
COLLATE = utf8_bin;
CREATE TABLE IF NOT EXISTS `USER_AUTHENTICATION` (
`LOGINID` VARCHAR(100) NOT NULL COMMENT '登陆ID',
`UID` INT NOT NULL COMMENT '用户ID(FK)',
`PASSHASH` VARCHAR(200) NOT NULL COMMENT '密码散列',
`PASSSALT` VARCHAR(100) NOT NULL COMMENT '密码加盐',
`HASHTYPE` INT NOT NULL COMMENT '散列算法',
PRIMARY KEY (`LOGINID`),
CONSTRAINT `AUTHEN_UID`
FOREIGN KEY (`UID`)
REFERENCES `USER_INFORMATION` (`UID`)
ON DELETE NO ACTION
ON UPDATE NO ACTION)
ENGINE = InnoDB;
CREATE TABLE IF NOT EXISTS `USER_AUTHORIZATION` (
`UID` INT NOT NULL COMMENT '用户ID(FK)',
`ROLE` INT NOT NULL COMMENT '角色ID(FK)',
PRIMARY KEY (`UID`, `ROLE`),
CONSTRAINT `AUTHOR_UID`
FOREIGN KEY (`UID`)
REFERENCES `USER_INFORMATION` (`UID`)
ON DELETE NO ACTION
ON UPDATE NO ACTION)
ENGINE = InnoDB
DEFAULT CHARACTER SET = utf8
COLLATE = utf8_bin;
## 基础问题
(1)上述表,一个用户,可以有多个LOGINID么?
(2)常用的密码算法有哪些?他们各有什么特点?
(3)文中的"慢算法"指什么?如何做到防爆的?
(4)文中的"加盐"指什么?什么样的密码"太傻"?
(5)简单的"注入"有哪些?怎么防止被注入?
## 编码问题
(a)写一个计算密码强度的服务,1-100表示强度值。
(b)尽情发挥,写一个用户登陆服务(即通过验证)。
(c)尽情发挥,写一个用户注册服务。
提示:所谓服务,可以但不应该是简单的程序。
## 参考资料
[加盐密码哈希:如何正确使用(中文)](
http://blog.jobbole.com/61872/)
[加盐密码哈希:如何正确使用(英文)](
http://crackstation.net/hashing-security.htm)
----
题图:2014年圣诞节,12306明文密码及用户信息泄露,随后,此案被迅速告破。
原文:
http://www.moilioncircle.com/actions/004.quiz.case-mini-authentication.html
分享到:
相关推荐
软件测试报告 珍藏版。好用记得回复推荐哦 目 录 1. 测试概述 3 1.1. 编写目的 3 1.2. 测试范围 3 1.3. 参考资料 3 2. 测试计划执行情况 3 2.1. 测试类型 3 2.2. 测试环境与配置 4 2.3. 测试人员 4 2.4. ...
Java验证AD域用户登录是企业级应用中常见的一种身份验证方式,主要用于确保只有授权的用户才能访问特定的系统或服务。AD(Active Directory)域是由微软Windows Server操作系统提供的目录服务,用于集中管理用户账户...
源码的目的是为了在用户安装或运行该APK时实现网络验证,确保软件的合法性和安全性。下面我们将深入探讨网络验证、源码结构以及相关技术。 网络验证是网络安全中的关键环节,它通常涉及身份验证和授权过程。在移动...
开关电源的测试验证对于保证产品质量和用户安全至关重要。它能够发现潜在的设计缺陷,如效率低、输出不稳定、电磁干扰(EMI)过大等问题,从而避免在实际应用中出现故障,影响设备的正常运行。 二、测试内容 1. ...
本指南主要聚焦于SystemVerilog在验证领域的应用,特别是如何构建高效的测试平台。 一、SystemVerilog验证基础 SystemVerilog验证的核心是建立一个能够模拟真实行为的验证环境,以便对设计进行全面的功能验证。这...
《芯片验证漫游指南》是一本深入探讨芯片验证技术的专业资料。在电子工程领域,芯片验证是确保集成电路设计正确无误的关键步骤。它涉及到复杂的逻辑分析、测试策略制定以及问题定位等多个方面。以下是对这份指南中...
本实践主题为"小实践3-测试数据 - 用户行为数据-user.json/log.json",聚焦于模拟用户行为的数据,用于测试和验证应用程序的性能、稳定性和正确性。这里包含的文件有"user.json"、"log.json"、"userparquet.parquet...
3. 验证实施:按照验证计划,实施验证测试,以确保计算机化系统满足要求。 4. 验证报告:编制验证报告,记录验证结果和结论。 计算机化系统的验证类型包括: 1. 应用程序验证:对应用程序的验证,以确保其满足要求...
**系统级芯片(System-on-a-Chip,SoC)ASIC设计验证与测试方法学** 在当前的电子技术领域,SoC设计已经成为主流,因为它能够在一个单一的芯片上集成多种功能,包括处理器、存储器、接口和其他逻辑模块。SoC设计...
“基于大规模定制模式的智能+5G验证测试平台”这一标题暗示了本文档将讨论一种创新的测试平台,该平台融合了智能化技术和5G通信技术,并采用了大规模定制模式。大规模定制通常指的是根据消费者特定需求进行产品设计...
Matlab分享系列 - 4 - Matlab_Simulink模型检查,验证与测试 a. 需求链接建立,模型检查与验证方法 b. 模型测试之手工用例和自动用例生成 c. 代码验证 d. 示例与实践
而“FetionSmart 0.9.0530迷你飞信测试版”则是飞信产品线中的一款轻量级应用,旨在为用户提供便捷、快速的通讯体验。尽管名为“迷你”,但在内存占用方面,这款测试版并未表现出明显的轻量化优势,这也是我们今天...
《测试之美-迷你版》是一本深入探讨软件测试领域的书籍,旨在揭示测试的艺术与科学,引领读者进入测试的美学世界。这本书可能包含了测试的基础概念、重要性、方法论以及最佳实践,帮助读者理解和掌握如何有效地进行...
它涉及到用户在安装和使用软件时,需要通过网络向软件提供商发送请求,验证其合法性。这个压缩包“完整版在线注册验证.e.rar”很可能包含了实现这一功能的相关代码、文档或者工具。 首先,我们需要理解在线注册验证...
描述中的"RS232-ICT004测试工具"进一步确认了这个压缩包的目的,即它提供了与RS232-ICT004设备交互和验证其功能的软件或程序。 标签"RS232-ICT004测试工具"强化了这个主题,表明内容是关于测试和调试RS232-ICT004...
### 软件测试与验证技巧 #### 第1章 软件测试与验证技巧 **一、软件测试简介** 1. **定义**: 软件测试是指在软件开发过程中,按照特定的方法和技术,对软件的功能、性能、安全性和其他特性进行检查的过程,目的是...
适合学习IC芯片验证平台搭建及测试
在IT行业中,登录验证是网络安全和用户数据保护的基础。在这个名为"登录验证程序.rar"的压缩包中,我们可以预见到包含了一个使用C#语言编写的登录验证系统。C#是一种广泛应用的面向对象的编程语言,尤其在开发...
产品测试验证流程是确保产品质量和性能的关键环节,尤其在互联网领域的智能家电产品中,如美的洗碗机。这个流程详细规定了从新产品开发到批量生产过程中各项测试的步骤和要求,确保产品符合标准并满足客户需求。 1....
联通LTE共享载波配置说明与功能验证 概述 网络共享是指不同运营商之间在网络部署阶段共同承担高昂的移动网络部署费用的一种做法,它可以...同时,我们还可以通过实验站现场验证来实现共享载波的功能验证和性能测试。