登录时候又出现漏洞了？什么情况

Ron2015 2015-07-09 10:39:08

...全文

106 1 打赏收藏转发到动态举报

写回复

1 条回复

切换为时间正序

请发表友善的回复…

发表回复

csdn客服部 2015-07-09

打赏
举报

回复

您好，经测试，搜狗浏览器登陆正常，您刷新后再登录试下。

面试这个经常会被问到，给你一个登录页面，你觉得可能存在哪些漏洞？

比如我们用的天镜,第一次登录之后,让大家修改密码,还有将来到公司,你想用公司的办公系统,一般都是管理员给你分配账号和一个默认密码,你登录之后要自行修改密码,如果他没有强制要求,那么你这个密码随机生成的,可能很简单,比如123456或者公司域名,再比如奇安信的vpn都是同一个密码,登录上去之后。比如csdn,看提示,提示的是用户名或者密码错误,没告诉你到底是哪个信息错误了,所以暴力破解起来也很难,如果明确提示你用户名错误,那就好搞一些,把没有提示用户名错误的数据保存下来,再去破解密码。

一、验证方式可绕过常见的验证方式有：验证码（字符或数值计算），滑动验证（滑块或特定路径），点击验证（按照要求点击字符或图案）等。再次发送该请求，查看响应结果结果如上图，说明验证码无效，可以重复利用该请求恶意批量注册（类似短信轰炸）修复建议： 1、增强验证码机制，为防止验证码被破解，可以适当增加验证码生成的强度，例如中文图形验证码。 2、限制一定时间内IP登录失败次数。二、账号可枚举漏洞描述: 接口对于不同的账号、密码返回的数据不一样，攻击者可以通过回显差异进行用户名的枚举，拿到账户名之后

Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面：网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中，大多数应用不是静态的网页浏览，而是涉及到服务器侧的动态处理。此时，如果Java、PHP、ASP等程序语言的编程人员的安全意识不足，对程序参数输...

越权漏洞（浅谈）越权的定义如何理解越权漏洞？（pikachu描述）为什么会出现越权? 通常情况下，web应用程序提供功能流程是：登录—>提交请求—>验证权限—>数据库查询—>返回结果如果在“验证权限”环节存在缺陷，那么便会导致越权一种常见的存在越权的情形是：Web应用程序的开发者安全意识不足，认为通过登录即可验证用户的身份，而对用户登录之后的操作不做进一步的权限验证，进而导致越权问题。越权漏洞分为水平越权、垂直越权、上下文越权水平越权: Web应用程序在接

604

社区成员

48,760

社区内容

发帖

与我相关

我的任务

其他技术论坛（原bbs）

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章