7类 登录/注册 安全漏洞
时间:2022-07-23
本文章向大家介绍7类 登录/注册 安全漏洞,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
一、验证方式可绕过
常见的验证方式有:验证码(字符或数值计算),滑动验证(滑块或特定路径),点击验证(按照要求点击字符或图案)等。
再次发送该请求,查看响应结果
结果如上图,说明验证码无效,可以重复利用该请求恶意批量注册(类似短信轰炸)
修复建议:
1、增强验证码机制,为防止验证码被破解,可以适当增加验证码生成的强度,例如中文图形验证码。 2、限制一定时间内IP登录失败次数。
二、账号可枚举
漏洞描述:
接口对于不同的账号、密码返回的数据不一样,攻击者可以通过回显差异进行用户名的枚举,拿到账户名之后,再进行密码的爆破
修复建议
1、用户名或密码输入错误均提示“用户名或密码错误”,防止黑客获取到注册用户信息。 2、限制用户登录失败次数。 3、限制一定时间内IP登录失败次数
三、密码未加密
四、手机验证码可爆破
漏洞描述
对验证码输入错误次数没有做任何限制+验证码的时效性高于爆破时间
修复建议:
1.点击获取手机验证码后产生即时更新强图形验证码 2.限制输入错误次数 3.缩短验证码的有效期
五、短信轰炸
漏洞描述
修复建议:
1.后端对同一手机号在某段时间只能发送一条短信,并且设置发送次数的上限
六、覆盖注册
七、任意用户密码重置
使用session对当前用户的权限做校验
- .NET CORE——Console中使用依赖注入
- EntityFramework Core 自动绑定模型映射
- Python标准库09 当前进程信息 (os包)
- Dapper连接与事务的简单封装
- 数据可视化的秘密
- EntityFramework Core 学习扫盲
- 协议森林03 IP接力赛 (IP, ARP, RIP和BGP协议)
- 从输入url到页面返回到底发生了什么
- 协议森林04 地址耗尽危机 (IPv4与IPv6地址)
- 使用抽象类和接口的优解
- 协议森林05 我尽力 (IP协议详解)
- [译]C#和.NET中的字符串
- 协议森林14 逆袭 (CIDR与NAT)
- 数据库中的左连接(left join)和右连接(right join)区别
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Mockito框架Mock Void方法
- 未来的神器fiddler Everywhere
- Sentinel整合Apollo进行规则持久化
- DevTools(Chrome 85)的新功能
- 在Node.js中处理Zip文件
- 构建一个带身份验证的 Deno 应用
- Sentinel整合Apollo进行规则持久化(二)
- Sentinel整合Apollo进行规则持久化(三)
- BeesCMS的SQL注入漏洞
- 操作系统的演变及在云计算的应用
- 没root账号,如何安装perl包
- 从 BIO、NIO 聊到 Netty,还要手写一个 RPC 框架!毕设/项目经验稳了!
- 从100万条数据中找到极大值所在行
- 常考题 | IoU 计算
- 操作系统和并发的爱恨纠葛