信息安全测评实验三.docx

、实验目的 通过对网站系统进行安全测评和安全加固，掌握应用安全测评方案的设计、安全测评实施及 结果分析；掌握安全加固的方法。二、实验题目根据信息系统安全等级保护基本要求的第三级基本要求，按照实验指导书中的示范，对 网站应用进行安全测评，安全等级为三级选用应用网站网址：http:/10.1L0.65/index.html三、实验设计应用安全涉及人类工作和生活的方方面面，为了考虑计算机应用系统的安全，需要逐一 分析各行各业的特点，可是这是难以做到的。因此，我们只能把握计算机应用系统的基础， 有什么样的安全测评要求，以便在这条“高速公路”上行驶的“人员”能够“放心驾驶”。 至于“他们开什么样的车，开往何方”等，则只好在今后的测评工作中就事论事了。国家标 准从管理和技术两个层面，对应用安全测评提出了若干条款。按照三级要求，国家标准中把 应用安全的分为身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、 抗抵赖、软件容错和资源控制九个方面。（1）身份鉴别。b）应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别； 可以通过登陆时是否需要验证以及具体需要验证的种类来查看。（2）访问控制。e）应具有对重要信息资源设置敏感标记的功能；f）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作； 通过访问管理员的方式。（3）安全审计。b）应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录； 查看二进制日志是否有修改编辑的选项。d）应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。查看二进制日志是否有自动分析过滤生成报表的功能。（4）剩余信息保护。a）应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论 这些信息是存放在硬盘上还是在内存中；b）应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其 他用户前得到完全清除。1. 询问管理员，具体措施有哪些。2. 检查设计/验收文档。3. 以普通用户身份登录并进行一些操作。（5）通信完整性。应采用密码技术保证通信过程中数据的完整性。访问管理员在通信过程中是否对数据加密。或者查看系统设置，看是否有对信息加密处理的 选项设置。（6）通信保密性。b）应对通信过程中的整个报文或会话过程进行加密。访问管理员在通信过程中是否对信息加密。或者查看系统设置，看是否有对信息加密处理的 选项设置。（7）抗抵赖。a）应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；b）应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。访问管理员，询问系统是否具有抗抵赖性，具体措施有哪些。（8）软件容错。b）应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。 采用渗透测试的方法来验证系统中是否存在明显的弱点。（9）资源控制。d）应能够对一个时间段内可能的并发会话连接数进行限制；e）应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；f）应能够对系统服务水平降低到预先规定的最小值进行检测和报警；g）应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先 级，根据优先级分配系统资源。1. 访问管理员，是否有相应措施。2. 查看资源控制列表，是否有相应选项。四、实验记录1）身份鉴别本项要求包括：a）应提供专用的登录控制模块对登录用户进行身份标识和鉴别；（1）访谈应用系统管理员，询问应用系统是否提供专用的登录控制模块对登录的用户进行 身份标识和鉴别，采用何种方式对用户进行身份标识和鉴别。预期结果:在业务需要的情况下应该提供专用的登录控制模块对登录的用户进行身份标识和 鉴别。（2）检查应用系统，查看用户是否必须通过专用的登录控制模块才能登录该系统，查看身 份标识和鉴别的方式。步骤:打开http:/目标主机IP地址/dede/login.php，查看用户是否需要进行身份标识和鉴别。测试结果：需要进行身份标识和鉴别，用户必须通过专用的登陆控制模块才能登陆系统。(3) 以某注册用户身份登录系统，查看登录是否成功。步骤：打开http:/目标主机IP地址/dede/login.php，然后用注册账户admin，密码admin登录系统。查看是否能够登录成功；测试结果：用正确的注册用户身份可以登录系统。(4) 以非法用户身份登录系统，查看登录是否成功。步骤：在登录栏处，随意输入一个未经注册的非法用户，查看是否能够登录成功。返回网站主页也您的管理目录的名称中包含默认名称dede,建设在FTF里把它修改为其它名称，那样会更安全，用户名:密码=验证码=DEDEtSFRAJi FRAN 看不将？登录Peered by JedeCBSV5T_GBK_SFL ©2004-2011 DesDev Inc.tp7/lD. 11.0 &5/deie/logjn. phpDeieCIS提示信息，的用户名不化在!如果你的刘览器没反成，清点击这里测试结果：用非注册用户身份或者错误的注册用户身份信息不可以登录系统。b）应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户 身份标识，身份鉴别信息不易被冒用;（1）询问应用系统管理员，应用系统的用户身份标识是否唯一。采取了什么措施防止身份 鉴别信息被冒用。测试结果：用户身份标识唯一，并采取措施防止身份鉴别信息被冒用。（2）检查总体规划/设计文档，查看其是否有系统采取了唯一标识的说明。查看其身份鉴别 信息是否具有不易被冒用的特点。测试结果：对用户身份唯一标识有文档说明。（3）检查应用系统是否有专门的设置保证用户身份鉴别信息不易被冒用，如果应用系统采 用口令进行身份鉴别，则查看是否有选项或设置强制要求口令长度、复杂度、定期修改等。步骤1：使用正确用户名和密码登录后台，依次点击系统-> 系统用户管理，在出现的界 面上点击更改选项，进入后会看到相应的修改提示。破王耳iEttJf.'JlBlVS1 强砸群WaHia.Bii 成4观1珥 grjm 刎推|门alhiadu.«TWl迎1蛭皿_IB:Z5:22 S?：r ； D.13.11 <TWii雎僵W最4gn I岫非l! L如El-灯仲W Wrill Mi土心输晦曲1S*EMB; niD-ai-ii ci oo 如S#Ef ；曲1翔河！ LilMiELg：ilVKqJIi曲1: L-SHHIHI. W fflWsjm：123甑1:”=营物 ：IU-I4-：I IBZ5 « SJ!3r ； n.13.5, M-Mitill步骤2：按照修改提示设置新的用户密码，检查系统是否配备了鉴别信息复杂度的检查功能。在检查时，使用简单口令，如“1”，输入安全验证串，然后点击保存用户，查看系统是否 具有口令复杂度检查功能。r ta irKii i w£i j AAbi 11* -a-HiiASL »_- ! ' lZiEmFI!"F=E 字血巾:uJTlIF-Rl - aCxrl O.13E13 JK-I3LJDed«cas提示信息1成功更改一个帐户!如果你的浏览器没反应，请点击这里.预期结果：应有口令长度、复杂度的设置，并可以控制用户口令是否进行定期修改。（4） 以已有的用户名重新注册，测试系统是否禁止该操作。步骤1：依次点击系统-> 系统用户管理，在出现的界面上点击增加管理员选项。步骤2:用已注册用户名admin尝试注册。f于由旧喧-1111-<111.De deCIS凳示信息，用户名已存在!如果你的浏览器没反应，i青点击这里.测试结果：禁止已有用户名的重新注册，提供了用户身份标识唯一和鉴别信息复杂度检查功台户能匕。(5) 扫描应用系统，测试其鉴别信息复杂度检查功能，检查系统是否不允许存在弱口令、 空口令等。步骤1：在添加用户时，在密码处不输入任何字符，查看是否允许存在空口令操作。vTit-ra港J2iu更L心C-Url CTEJ*咛扉址：!t »1E/!T n-n-.'JKIW'll!Il：'f(3£(|5!车世玛：fi711£ffl01dcs34dB-d£34a，h£D 】t % -"辛打=亍而ll：E一1L 11=川击】t . .nL = - ： V . . .、z :只.能用"o-sr - 'a-2： z , 哽宇敢.半苴.怛姓垂flTjl2f5Oldc3td0f3eatf9步骤2：在添加用户时，在密码处输入简单字符，如11”，查看是否允许存在弱口令操作。De deCBS提示信息曾成功增加一个用户！如果你的浏览器没反应，请点击这里.测试结果：允许存在弱口令、空口令。c）应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；（1）询问管理员应用系统是否具有登录失败处理的功能（如结束会话、限制非法登录次数， 当登录连接超时，自动退出等），是如何进行处理的。测试结果：应当限制登录失败次数。当登录连接超时，应当自动退出或提示。（2）检查应用系统，如果有登录失败处理设置选项或模块，查看系统是否设置或选中了该 功能。步骤：点击系统设置，查看是否有登录失败处理设置或模块，再进行查看。测试结果：登录失败时没有相应提示或处理选项、模块。（3）根据应用系统使用的登录失败处理方式，采用如下测试方法之一或全部：步骤1：以错误的用户名或密码登录系统，查看系统的反应。步骤2：以系统规定的非法登录次数登录系统，查看系统的反应。步骤3：登录系统进行连接超时时，查看系统的反应。测试结果：用错误的用户名或密码无法登录。登录失败次数超出限制时，系统有相应处理。登录系统超时后有相应处理。d）应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失 败处理功能，并根据安全策略配置相关参数。步骤1：询问系统管理员应用系统的身份鉴别、身份标识唯一性检查、鉴别信息复杂度检查 以及登录失败处理功能是否有专门的模块或选项，是否有相关参数需要配置。测试结果：对身份鉴别、身份标识唯一性检查、鉴别信息复杂度检查以及登录失败处理功能 应有专门的模块、选项或配置参数。步骤2：如果有参数需要配置，则查看实际配置情况，是否已经启用上述功能。测试结果：如有相关参数配置，应开启了上述功能。e）应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；步骤：打开http:/目标主机IP地址/dede/login.php，然后查看如何才能够登录成功；返回网站主页甄证码;Sf U F看不清？登录Powered by BeleCBSV57_GBE_SPl © 2004-2011 IlesHev Im：,方法2：以管理员root的身份登陆，而后查看【系统】-【验证安全设置】选项口矛.折用尸宣理 口用尸SH电宜 flBB.-S-ffi*3-W/i3Era 。旅诚曰志t?舟 g 史全氏州 .图什水已口四 0曰击堂立推IE世 O做冲娜Jt设宣 0防斐勤中心骨验1正巧生型:监将睑证砰立i中貌型:1, 恍用Er#白BE予回田！花同由口 : 11+5=-? j .输i入中立琳172, 恍用Je!代晦tEJSo+SlF版成成一*：i-田汁“u=g址"Z>3测试结果：使用了验证码和用户密码口令两种鉴别技术。2）访问控制本项要求包括:口 住flfl刍"E 由irtr白atttt me很柿由立档评坨 RH i HI=SS5l=*= Ji 3：-BBZ4P«1 + 11=-?D«d«CMSa）应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问;（1）询问应用系统管理员，系统是否提供访问控制功能，访问控制策略是什么？自主访问控制的粒度如何?测试结果：系统应提供访问控制功能，访问控制策略。（2）检查应用系统，查看系统是否提供访问控制机制。步骤：浏览器地址栏键入“目标主机IP地址/phpmyadmin”，用户名键入root，密码为空，选择数据库项，检查用户对各个数据库的访问权限。-Language便用 ptipHyAdmin中文-Chinese simplified-登录®用户名=执行T)必须启用Cookies才能登录# 10.11.0.65宜加皿植的疽.： !a S Q Q+ dadacHXi.'ETfhbjp I (LOD)+ in£*Br*&i3rch"x 扫T，+ wyrqL f网J-pBFtanLatfwerdia C1T)-last敲新玷祢摩翌屉伺尊：iMil&USt击成皿。部网即1inFariiKt Lan_xcTiinii.里冲pazcf de*mi eii_x chi n&tfrit«lt= G* iii 堂不书： - . xs>*«* 点现l 吊害 至也 网字我拽 据引堆 号也1 -二atm吉 包瞄 国耳出 担导人|也 斯，在此后用贩色庠说#?11占州汕曲百箱盼氾卧酬h'i>' Ssffetth e绍lMklh>01政-tui昱庶库 十弘跑函髡 旧1学毛 倒引等 K曜lli二attei日方 也一暮 勘晴由 曲mV网尸 主也衣幕W ,n ft7-条4. Vi倬. 在恭!B?用匡僧 mzrr. ccevt phte. hltte cuhTz. wif. rjireuicu ikc. mjei cuhTE Torcrju*.: tulu ldck tatlc cuhTE an-, eszht tu«ei nw mdflLctiztc nircnn»t:i2T.fl. 0. L受感MX rum±:uEM:SALL runLfrSUrootJanllnrl堂防ALL rUHLDlU测试结果：系统提供了访问控制机制。(3)检查应用系统，查看系统是否设置有安全策略控制用户对文件、数据库中的数据等进 行访问。步骤1：浏览器地址栏键入“目标主机IP地址/phpmyadmin”，选择数据库项，点击查看 各个数据库的访问权限。|辱戮麻,| 5ggy "状苞 圜芸星 帝学特里肆弓I擎癸板限 舆二逐制曰志 峰进程 停导出 厚导入此唇阵-d-edecmsvSTgbkspl1infer mati-on_&cnemamysql 1prForm n<-e_s<：h ematest轻计：5-t_全选/全不选 选申演:步骤2：点击编辑各个数据库的权限。tiiwn j"« irwi 屋却错庠 揭MIL尊状卷 贫变童 网字符去 部引擎 f程限 屈二堂制日志 粘进程 曲导出 静导人ffl.P 主粗 荚室枳限税siLicr, LKiar, vrsAn, usurf, cmate. dedf, esfekeeiuew. nfDiK.虹皿.，匚kejje否miTORiHr TABLES, LOE TAE：LES, CEUAH YIEV. EVTIfT, THIGGIE. SHEiV I1EV, tEI虹I BaVTUffi 由ALL fKIVLLEEBS是rant:全扃11 PRIVILES是犊昨4.:备代.*-打开新pM熨击liri育口rant localhort 全后ML FKIV剧E9是测试结果：系统设置有安全策略控制用户对文件、数据库中的数据等进行访问(4) 检查应用系统，查看系统的访问控制粒度是否达到主体为用户级，客体为文件、数据 库表级。步骤：以某一用户身份登入系统，选择数据库选项卡，查看访问控制粒度是否达到数据表 级。103)»屈5QL窿圭归查荷当尊由魏提作薜叔阻黑,除操作记录觌1美星太小多金de Jig_addunaii: iclt国座aX96NrlSAIEbk_chinesc_ciz?.eKB-de d.e_addoniBage s楫1蘑X0HtISAIgbk_ clriines e_ci1.0KB_die de_addonin±, as四座匿£XNyLSAMgbli_ Dhinss e_ci2.0EE-dede_addonshop鼻jffiX0MylSAJI£bh_chinese_ci1.0KBdedc_addonsDf t座aX0KrISAIEbk_ chines e_ci1.0KB-die de_addonspc cin对X0NylSAJIgbl:_ chines e_ci1.0KB_dede_sJH.iin回座ESX3NylSAJIEbli_ chines e_ci2.2EE：务新：locBlhosrt * 位 数据库：dcdecAsvETgbksrp 1测试结果：系统的访问控制粒度达到主体为用户级，客体为文件、数据库表级。(5) 以某一用户身份登录系统，依据安全策略对客体进行访问，测试是否成功。该用户不 依据安全策略对客体进行访问，测试是否成功。步骤1：以root身份登入系统，尝试对数据库进行增加、删除、查询、修改用户权限等操 作，查看root用户权限。删除数据库：dedecmsvB 7 gbk sp1iri'f oirm.a.± i otL_ s clentainvsqlper±" ormai-LC e_ 3 clenta拿± es±0朦计，5t全选/全不选考中砰搜索查询、导出数据库:gj Jfi 算 S： j.ocaui.osT ， 曲i gDHspi酉与树 隼SQL 。柔 W查询I为导出 区导入 懿It作 学叩- 基降d e de _ a d d am.> r t icle回酉dEde_ddDiiiHSic：e see!dcde addoaiiff osded.e_ addonshop旧dedB_3ddinits oftdcdc_3ddoiup ccdedeadiin后函操作1荚室整理勾 +' nr XKylSAfflgbli_chiruese_CL泪* 园XUMylSANgbk_chineE5_CL沮*届XHylSAfflsbt:_chiMse_cL白部而XMylSAfflgbk_chine se_c iiu + in ¥0JlylSAHgbk_chinese_CL洞* XUKylSANgbk_chinesc_cL汇1 部奇XZ1JIlylSAfflgbk:_chiMse_cL查看、更改访问权限:w用户可以访可adedec>sv57gbksp1"用户主机类型权限add._user%全局3ELECI, IN3HET, UTDAIE., DELETEadd_userlocalhost全局SELECT, INSERT, UPDATE, DELETEadd_user1%全局AU. PHWLEGES%全局SELECT, INSERT, UPDATE, DELETEanyuser按数据库指定AU. PHWLEGESroot127. 0. 0. 1全扃AU. FHWLEGESroot:1全局AU. PHWLEGESrootlocalhost全局ALL FBIVILEGES授权揉作舌否是否否是是是顿H Z Q Uiti«n_scbEift (3?)ohjeisUDEUEH'iUKEIE顷旭 dj倾 LE E U-CVB U_DB_EISEI fl_UT_BEn fl_UKE5 fl UEEUIIS Qjn 血njEAa ox TTOE :Esai5T步骤2：以任意非root用户身份登入系统，尝试对数据库进行添加、删除、查询等操作， 查看其是否具有相应权限。例如，以anyuser身份登入系统：无法查看日志信息，无法查看权限设置，无新建数据库权限，可查询数据库 information_schema，但无删除数据库权限：C Q 10.11. Ol Klwadniji/iiideL php?t Qken.=e6239131B202Gal5E2c7E3aE73d?5faw Iwaliwrt我BL。幡孟翅目箱瞧御旱照部荏甜3导人争瞄9BillTySOL lotfilhost蛾库:i?i_日珏限二三,二：WH：；'-J：.：3r 项：二（| -：（： ：i；： J ,W主如飕：T： T卜日定煽:血箜顷；TJ 聃得：IncalliKt辣 晶瓶 林若逐翅闫锹 知厚费髓 的a；述蜘，infDiKtiiin_sii£ftau 时11墉:I 况腮可浏览、查询数据库:菱T毯0CHMIER.SETS35I39HEWiitfa_gener31_7i0COLLAIIORSa5E95HEWntf8_gener31_ci0COLLATIOJ_CHARM：IER_SET_1PPLI(1BI1IIT3直595hehdetiitf8_general_:iQCQLUIVSasE4DB切辿iitfS_gener81_ci0COLin.PRinLEMS5凰0HEWntf9_gener31_:i0Kins3直Hghehdetntf8_general_ci0ETEITSas0切辿iitfS_gener81_7i0FILES52凰0HEWntf9_gener31_ciCLOBlL.SIims3I3DBhehdetiitf8_general_:i测试结果：以某一用户身份登录系统，依据安全策略对客体进行访问，结果成功。但如果该 用户不依据安全策略对客体进行访问，结果则为失败。b）访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；（1）访谈管理员，询问系统访问控制策略是否覆盖到与信息安全直接相关的主体、客体及它们之间的操作？测试结果:系统访问控制策略应覆盖到与信息安全直接相关的主体、客体及它们之间的操作。（2）查看系统的具体安全策略内容是否覆盖到与信息安全直接相关的所有主体、客体及它 们之间的操作。测试结果：系统的具体安全策略内容应覆盖到与信息安全直接相关的所有主体、客体及它们 之间的操作。c）应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；（1）检查应用系统，查看系统是否有由授权主体配置访问控制策略的功能。方法：以root身份登陆系统，选择数据库选项卡，查看是否能够配置对各个数据库的访 问策略。例如，可进行以下步骤配置用户对数据库test的访问策略。步骤1：检查“test”数据库的权限。9tt愤律dedeciri5¥57gbk5 p 1lnformation_sc hemamysql口perfo rm I、c 白_&派 g希testSit： S1_全选全不选诳倾冀!步骤2：点击如图按键即可针对不同用户对数据库“test”的权限进行编辑。jFrihpig血in/indcx. php?inkcn=38del755F436ScOcOd49clf6880cefe5yj 服务番二 Locaihost样救据庠盗即L 夺状态宜乘堇卸字祚蛔引擎令权眼 二进据日暮魅进程在导出窿与入件广可以访间3用尸主机秋眼怪作adOser127-0,0- I全启ALL FRIYILEGES是add._userl 1L11另挟数据库定ALL PRIVILEGES否root127.0. CL L全局ALL TKIVILEGES是root:1ALL FRIVILEGE是rootLocalhost全后ALL PRIVILEGES是tuserK全且SELECTINSERT, LIHMT底 DELETE. WLFE. SHOW VI时百勺渤口断用户测试结果：系统有由授权主体配置访问控制策略的功能。（2）如果系统有由授权主体配置访问控制策略的功能，则以该授权主体用户登录系统，查 看某个特定用户的权限。以该用户身份登录系统，进行在权限范围内和权限范围外的一些操 作，查看是否成功。步骤1：添加用户。选择权限-添加新用户，添加一个名为add_user123的新用户，不为 其创建数据库，不对其赋予任何特殊权限。JEr ZLocIRob屏戮献闰 SQL ，状M 翎斐M 圜字衍佐 跄引哗 另权限 剧 二谱粗曰击 幽班& 跃旧曲AE右用户DCDEFQHIJKLffl期户全闩枳慰1OK能人斗o住忠LoealhinslUS.NEadds r_ij.s?«r127. 0. 0.LEKGEOariyij.flG-rXLBkGEOr c-otL27- 0= CL 1ALL FRTVZ1LECE2Qroot:1ALL rZIVZLSCTSOr oatLocalkiosl杳AJJL FKTVILEGEST全选/全不选rt：:渗力谢用户ZTXVU73KQIJ祝uttnl普吾晋是是是嘟户iiT:._.H /述:I1藕:T龄：瞄:射H aurr EOT nimnuSIRcrumr g IKt£ NW- Jbn w:ur nor raa criwz win lUQ hLriHIZH HB71E craMT mu 7TICT3T3ijuurr mii iKC&5 HUH SWWWEkW iCS-LK1 -|£1SHilumHiurma aim IZJUJUnTM HAT C1W71 B义廊 条gwnr/g ffw*.W WDtlE： E MW. o 14 m m o ih rrarnnc ieh et. r im _pranrir n牌钦据庠席SQL辱状态 H）变量围1宇符集粉引军漂行眼匝二进制日志嗑睥龄导出洋 "志巳*粉口T f新用广。C3IA7I UEEK '盘七小吁戒亍区 ；GKA1T 1KAGX 01 * TO J add_uierZ3 邱 I1TH AIflUIEMS TEIL JtOIK U IAI.CUnfBDrISJIEUfOUK UAI_¥TDATES_rEa_MUB H IA3_lEB_C09KECTIOB5 0 .编辑1创建PHP步骤2：退出当前登陆，以新建用户add_user123身份登入系统，尝试对数据库进行添加、 删除、查询等操作，查看add_user123是否具有相应权限。无法查看日志信息，无法查看权限设置，无新建数据库权限提作岑俺改胡回幽1K出jrSQL 1 ocal tins ±<皿还触 *KFT= inr.lyJ'jL ILJ=|J<.-' J : nl IH ii:rii:r;jl i :i-%-依 If 11咛1 Lancu.a£e 立3 :中工一 -u h ines e sim p lified.-£ + RiF ， E ±iL ./可查询数据库information_schema和newtest，但无删除数据库权限:躁SQL事状态司变量圜字符集寐引擎=辱教据库数据库inf o 颌玳 ion_ schemanewt e st总计，2朽;自田蚌肝可浏览查看数据库：表误作记录敷1苦理CHiRACTERSETS39henbryutf8_gene rsl_ciCOLLATIOIS眉回EQMEMORYutf8_gcncral_ciCOLL£TIOW_CHAC TER_ 弗 T_APPLICABILI TY怛西宜195JEMCiRYut fS_general_ciCOLUUiS旧商E4J08JI/ISAfflutf3_gmna ral_ciCOLUMLPltlVILEGES0JEMORYutf8_ernrral_ciENGINES回囱匡9HEM9RYutf8_general_ciEVESTS0ftdSAMutf8_genc ral_ci测试结果：进行在权限范围内的操作，成功；权限范围外的操作，则失败。(3) 以该授权主体用户登录系统，修改上述特定用户的权限。以该用户身份登录系统，查 看该用户的权限是否与刚修改过的权限保持一致，验证用户权限管理功能是否有效。方法：以root身份登陆系统，修改刚才新建用户add_user的权限，例如：取消add_user访 问“test”数据库的权限，然后以add_user123身份登入系统，查看add_user123是否有权 访问“newtest”数据库。步骤1：以add_user123身份登入系统，查看当前可以访问的数据库。localhost霜限务器；爵薮据库SQL号状态厚数据片数据库4inf o mat ion schemarieirt est总计二2二启用统计步骤2：以root身份登陆系统，取消非root用户对“newtest”数据库的所有权限。gj 屈空h 暨 m IvcalhoiFl:昴斯腮理SQL11 KK 四字特隹 W弓I警* 用户可眼由M "nnbt CTEt用户任意123主机%披懋据库栉定add-ucet: adduce t:0O7全M按戴据库栉定全M全MFKIV1LZGESAJ_L FKIV1LZGESehlect, IHEHKT4 UFDAIH. DELZTHE elect, IH3HKT4 UFDAIH. DELZTHehlect, ihehkt4E elect, IH3HKT4AJ-L FKIV1LZGESAJ_L FKIV1LZGESAJ_L FKIV1LZGESUFDAIH. DELATEUFDAIH. DELETESHDWEHDWVIEW一坑：mewaw亢故限 全/ 全秘 1SselectTH3HRTUFDkTEDELETECREATEKLTI5K|_l LNDEK L_ I DROPCREATE TEMFORARY TABLESSHOW VIEWCREATE EDUTIirEKL.THR ROUT工:HZBXHCUTECKZA.TE VZEff-WHGKAirr UOCK TAZiUES MFEMNCESEVENT TRIG<?EH序？5康NHL寻旦X里 I社I十TTJR 剥刁手 3寸您已更新了 W务的权限*GRABT USJLGX Off .叭共七 * TO W % ；步骤3：再次以add_user123身份登入系统，查看当前可以访问的数据库是否包含"newtest” 数据库。坤数据庠 5sql 辛状态 翌委量 H1字符乘裁据库敏据库 -inf ormat iorschema尊计；1测试结果：权限管理正确。（4）检查应用系统，查看系统是否有默认用户，如果有，是否限制了默认用户的访问权限。 步骤：选择权限项，查看系统中存在的用户（除了 add_user123为新增用户，其他用户没 有进行任何更改）。（5）如果有默认帐户，以默认帐户（默认密码）登录系统，并进行合法及非法操作，测试 系统是否对默认帐户访问权限进行了限制。方法：以任一默认账户身份登陆，检查此身份是否可以进行权限变更、用户增删等操作。