订单ID篡改测试，登录失败信息测试  实操过程和说明

往期文章：

暴力破解测试-业务安全测试实操(1)_luozhonghua2000的博客-CSDN博客

本地加密传输测试-业务安全测试实操(2)_luozhonghua2000的博客-CSDN博客

Seesion会话超时时间测试-业务安全测试实操(3)_luozhonghua2000的博客-CSDN博客 

 登录失败信息测试

 测试原理和方法

在用户登录系统失败时，系统会在页面显示用户登录的失败信息，假如提交账号在系统中不存在，系统提示“用户名不存在”、“账号不存在”等明确信息:假如提交账号在系统中存在，则系统提示“密码/口令错误”等间接提示信息。攻击者可根据此类登录失败提示信息来判断当前登录账号是否在系统中存在，从而进行有针对性的暴力破解口令测试