摘要:
跨站脚本漏洞概述: XSS是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户 XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等 XSS(窃取cookie)攻击流程: XSS漏洞常见类型: 危害:存储型>反射型>DOM 阅读全文
摘要:
防暴力破解的措施: 设计安全的验证码(安全的流程+复杂而又可用的图形); 对认证错误的提交进行计数并给出限制,比如连续五次密码错误,锁定两小时; 必要的情况下,使用双因素认证。 token防爆破: 一般将token以"type= 'hidden' "的形式输出在表单中 在提交认证的时候一起提交,并在 阅读全文
摘要:
验证码: 一般用验证码来进行登录暴力破解;防止机器恶意注册 验证码的认证流程: 客户端request登陆页面,后台生成验证码:后台使用算法生成图片,并将图片response客户端;同时将算法生成的值全局赋值存到SESSION中。 校验验证码:客户端将认证信息和验证码一同提交;后台对提交的验证码与SE 阅读全文
摘要:
基于表单的暴力破解: 1.随便输入一个账户和密码,然后我们观察bp抓到的包。我们发现提交的请求是一个POST请求,账号是tt,密码是ttt,没有验证码的因素。所以基本上可以确认此接口可以做暴力破解。 2.将抓到的包发送到Intruder模块 3.在Intruder模块中,先将默认的变量进行清除 4. 阅读全文
摘要:
暴力破解概述: 连续性尝试+字典+自动化(攻击者在不知道目标账号和密码的情况下进行尝试性的登录,在这个尝试的过程中,会使用一些自动化的工具和一个特定的字典,比如一个账号密码库,实现一个高效的自动化的连续的尝试性登录,从而得到一些有效的账户和密码) 字典:一个有效的字典可以大大的提高暴力破解的效率 常 阅读全文