这个月带给你的是网站绕过认证漏洞。为了更好的保证业务管理系统的安全保护,基本上每个系统软件都有各种认证功能。常见的认证功能有账号密码认证、验证码短信认证、JavaScript数据信息内容认证和服务器端数据信息内容认证。但是,编写代码的技术人员很可能在身份验证方法方面存在不足,这可能会导致他们被绕过。所以本文总结了以下几种绕过认证的姿势,和大家一起探讨。

Pc客户端验证绕过

客户端校验是一种常见的校验方式,也就是说在pc客户端对客户的输入进行校验,将校验结果作为基本参数发送给服务器,或者使用web前端语言限制客户的非法输入和应用。该类的测试方法可以通过更改web前端语言或篡改传输数据中的基本参数来绕过身份验证。

示例:

A)观看视频前需要购买一个系统软件,不同的课程内容以id地址划分。

b)。弄清楚支付是否只在web前端原生js调整,改变courseID就能看到不同的课程内容。recordURL是指在线视频观看的超链接,无需登录即可播放。

c)根据网络电影中的视频码,可以得到网络视频观看的详细地址:

获得url是视频在线观看的详细地址。

d)根据代码,可以在线观看网站视频。

客户端身份验证个人信息泄露

程序员在编写认证程序代码时,很有可能会将认证信息内容立即泄露到pc客户端,攻击者可以根据对服务器返回的数据信息的深入分析,立即得到核心的认证信息内容,然后进行认证。

示例:

当需要完全免费的wifi接入时,必须应用发送到手机的密码来完成认证。在抓取发送登录密码的数据文件时,发现登录密码被返回到pc客户端,导致各大网站账号都可以登录连接的网络。

客户端进程调整绕过

当程序员编写认证程序代码时,很可能会将认证效果返回给pc客户端,pc客户端根据服务器提供的认证效果完成下一个应用,攻击者可以根据篡改认证效果或者立即实现下一个应用来绕过它。

示例:

A)系统软件密码重置需要三个过程。第一步,输入图形验证码。

b)。然后需要根据验证码短信认证真实身份。

d)。您可以成功更改您的密码和登录密码。

应用目标篡改旁路

如果应用程序选择连续的真实身份验证措施或真实身份验证过程与操作过程分离,它可以尝试在身份认证过程中改变真实身份验证目标或应用程序目标可以完成旁路认证。

示例:

a)更改系统软件绑定的手机号码。b)。挑选和接收电话验证码的变化完全免费。c)将更改后的手机号改为自己的手机号。d)根据变更后的手机号码接收到的校验码,变更手机号码。e)。发现可以顺利换一个全新的手机号。基本参数篡改,程序员在编写认证程序代码时大概会检查验证码的短信字段名的准确性,但是当验证码的短信字段名不存在或者为空时,就会马上检查。如果你的网站存在逻辑漏洞,又不知道如何检测修复,可以找专业的网站安全公司处理。国内的SINE安全,绿色联盟,鹰盾安全,深信服,金星都挺好的。

评论(0条)