1.登陸次數限制
用戶輸入的賬號密碼錯誤數量達到5次,就要從新打開瀏覽器才能再登陸,用抓包工具測試了下,發現限制的數據就保存到cookie中。這明顯對防攻擊者來說,其實沒什麼卵用,我把cookie的值刪了,你的限制就無效了。要想防止別人攻擊,還是要到後臺做二次驗證。
那就表演一下吧
這是在瀏覽器輸入輸入錯誤賬號密碼超過5次的提示:“錯誤超過5次,關閉瀏覽器重新登陸!”
抓包,模擬提交
有超過5次的提示。試試把cookie都去掉,再提交試試
提示超過5次登陸沒有了,那麼。。。是不是可以爆破了。
2.驗證碼
輸入正確的驗證碼,模擬提交幾次發現都沒有驗證碼錯誤的提示。這就是沒有及時對驗證碼做銷燬處理的漏洞。
請看下面的表演
輸入個錯的驗證碼,看看是什麼提示
輸入個正確的驗證碼,抓包模擬提交幾次看看
沒有提示驗證碼錯誤,那麼,是不是可以爆破了。
分享到:
閱讀更多 戴丶小莫 的文章
