1.登陆次数限制
用户输入的账号密码错误数量达到5次,就要从新打开浏览器才能再登陆,用抓包工具测试了下,发现限制的数据就保存到cookie中。这明显对防攻击者来说,其实没什么卵用,我把cookie的值删了,你的限制就无效了。要想防止别人攻击,还是要到后台做二次验证。
那就表演一下吧
这是在浏览器输入输入错误账号密码超过5次的提示:“错误超过5次,关闭浏览器重新登陆!”
抓包,模拟提交
有超过5次的提示。试试把cookie都去掉,再提交试试
提示超过5次登陆没有了,那么。。。是不是可以爆破了。
2.验证码
输入正确的验证码,模拟提交几次发现都没有验证码错误的提示。这就是没有及时对验证码做销毁处理的漏洞。
请看下面的表演
输入个错的验证码,看看是什么提示
输入个正确的验证码,抓包模拟提交几次看看
没有提示验证码错误,那么,是不是可以爆破了。