更新時間:2025-05-11 13:26:42
開發經驗
997這個月帶給你的是網站繞過認證漏洞。為了更好的保證業務管理系統的安全保護,基本上每個系統軟件都有各種認證功能。常見的認證功能有賬號密碼認證、驗證碼短信認證、JavaScript數據信息內容認證和服務器端數據信息內容認證。但是,編寫代碼的技術人員很可能在身份驗證方法方面存在不足,這可能會導致他們被繞過。所以本文總結了以下幾種繞過認證的姿勢,和大家一起探討。
Pc客戶端驗證繞過
客戶端校驗是一種常見的校驗方式,也就是說在pc客戶端對客戶的輸入進行校驗,將校驗結果作為基本參數發送給服務器,或者使用web前端語言限制客戶的非法輸入和應用。該類的測試方法可以通過更改web前端語言或篡改傳輸數據中的基本參數來繞過身份驗證。
示例:
A)觀看視頻前需要購買一個系統軟件,不同的課程內容以id地址劃分。
b)。弄清楚支付是否只在web前端原生js調整,改變courseID就能看到不同的課程內容。recordURL是指在線視頻觀看的超鏈接,無需登錄即可播放。
c)根據網絡電影中的視頻碼,可以獲取詳細地址3360進行在線視頻觀看。
獲得url是視頻在線觀看的詳細地址。
d)根據代碼,可以在線觀看網站視頻。
客戶端身份驗證個人信息泄露
程序員在編寫認證程序代碼時,很有可能會將認證信息內容立即泄露到pc客戶端,攻擊者可以根據對服務器返回的數據信息的深入分析,立即得到核心的認證信息內容,然后進行認證。
示例:
當需要完全免費的wifi接入時,必須應用發送到手機的密碼來完成認證。在抓取發送登錄密碼的數據文件時,發現登錄密碼被返回到pc客戶端,導致各大網站賬號都可以登錄連接的網絡。
客戶端進程調整繞過
當程序員編寫認證程序代碼時,很可能會將認證效果返回給pc客戶端,pc客戶端根據服務器提供的認證效果完成下一個應用,攻擊者可以根據篡改認證效果或者立即實現下一個應用來繞過它。
示例:
A)系統軟件密碼重置需要三個過程。第一步,輸入圖形驗證碼。
b)。然后需要根據驗證碼短信認證真實身份。
d)。您可以成功更改您的密碼和登錄密碼。
應用目標篡改旁路
如果應用程序選擇連續的真實身份驗證措施或真實身份驗證過程與操作過程分離,它可以嘗試在身份認證過程中改變真實身份驗證目標或應用程序目標可以完成旁路認證。
示例:
a)更改系統軟件綁定的手機號碼。b)。挑選和接收電話驗證碼的變化完全免費。c)將更改后的手機號改為自己的手機號。d)根據變更后的手機號碼接收到的校驗碼,變更手機號碼。e)。發現可以順利換一個全新的手機號。基本參數篡改,程序員在編寫認證程序代碼時大概會檢查驗證碼的短信字段名的準確性,但是當驗證碼的短信字段名不存在或者為空時,就會馬上檢查。如果你的網站存在邏輯漏洞,又不知道如何檢測修復,可以找專業的網站安全公司處理。國內的SINE安全,綠色聯盟,鷹盾安全,深信服,金星都挺好的。
我們專注高端建站,小程序開發、軟件系統定制開發、BUG修復、物聯網開發、各類API接口對接開發等。十余年開發經驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!
