针对前端认证有以下威胁:
简单加密:前端加密、后端界解密校验、利用解密工具解密。如: BP解密、在线cmd5等。
Session&Cookie会话固定:利用服务器唯标识长期不失效的漏洞原则 ,反复修改测试。
Cookie盗取/假冒:修改Cookie中的某个参数登陆其他用户。
预测:对唯一ID的脆弱性进行检测,不安全的Web Appliction ID被预测。
暴力破解/撞库:首先尝试5次或者10次账号密码登陆,发现目标是否封禁几次请求,没有封尽则可以不断爆破。采用账号密码爆破,对于些商城 、应用、政府、学校则采用撞库方式判断是否存在该账号(需要准备各类字典:手机号撞库,邮箱撞库,姓名撞库)。
回答所涉及的环境:联想天逸510S、Windows 10。
针对前端认证有以下威胁:
简单加密:前端加密、后端界解密校验、利用解密工具解密。如: BP解密、在线cmd5等。
Session&Cookie会话固定:利用服务器唯标识长期不失效的漏洞原则 ,反复修改测试。
Cookie盗取/假冒:修改Cookie中的某个参数登陆其他用户。
预测:对唯一ID的脆弱性进行检测,不安全的Web Appliction ID被预测。
暴力破解/撞库:首先尝试5次或者10次账号密码登陆,发现目标是否封禁几次请求,没有封尽则可以不断爆破。采用账号密码爆破,对于些商城 、应用、政府、学校则采用撞库方式判断是否存在该账号(需要准备各类字典:手机号撞库,邮箱撞库,姓名撞库)。
回答所涉及的环境:联想天逸510S、Windows 10。