摘要:
1、介绍 这里的验证码是指在注册、登录、找回密码、重要操作验证身份时,服务端向用户的手机或者邮箱发送验证码,用户输入匹配成功以验证身份。 验证码爆破漏洞,是服务端未进行次数和时间限制,或者允许的范围过大。导致攻击者可以反复尝试不同的验证码,以获取到正确的验证码。 2、测试 如果是真实攻击环境,一般会 阅读全文
摘要:
1、介绍 ssrf,server-server request forgery服务端对服务端的请求伪造,有时也理解为server side request forgery服务端侧的请求伪造。 指服务端借助用户请求中的参数,向服务器内部或者其他服务器发起请求,而这个过程对发起方是信任的,导致出现危害。 阅读全文
摘要:
1、介绍 csrf,cross script request forgery跨站请求伪造。利用目标域对用户的信任,只检查登录凭证而不进一步检查referer字段,被攻击者伪造请求提交,造成危害。 具体来说: 受害者用户登录目标域,获得登录凭证cookie,缓存到浏览器中 受害者用户在同一浏览器下,由 阅读全文