登录页面可能产生哪些漏洞?

已于 2024-06-06 22:05:37 修改
阅读量454 收藏 2
点赞数 1
文章标签: 安全 面试 网络安全 系统安全 web安全 安全架构
于 2024-06-06 22:00:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75341517/article/details/139510745
版权

面试这个经常会被问到,给你一个登录页面,你觉得可能存在哪些漏洞?

1.注入点(万能密码登录)

尝试以下万能密码登录,也就是sql注入中的不知道用户名跟密码的情况下登录。

2.不安全的用户提示:一般提示用户名错误,或密码错误

比如csdn,看提示它提示的是用户名或密码错误,没告诉你是哪个错误,在你进行暴力破解的时候,很难破解,如果明确提示你,用户名错误,那就好搞一些,可以直接去破解密码

3.查看登录页面源码,是否存在敏感信息泄露

看看是否有敏感信息,注释信息提示,还可以看看前端验证能否绕过。

4.不安全的验证码

目标网站可能对验证码的时效没有进行限制,导致长时间有效,那么我们就可以一直拿着利用

5.在账号注册时是否有不安全提示

例如,注册时提示用户已经存在,手机号已经注册过,等等

6.不安全的密码

采用弱口令,密码设置过于简单,没有限制密码的复杂度

7.暴力破解未限制ip,锁定ip

不限制次数,攻击者可以无限次暴力破解,设置登录次数,是放止暴力破解的有效手段

8.sql注入,存储型xss

跟第一个一样,第一个能实现这个就能实现。

9.任意账号无线注册

一个用户无线注册几万个用户,数据库肯定撑不住啊

10.登录之后的超市功能

不设置超时,你人走了,小心别人拿你账号做坏事

11.越权漏洞,逻辑漏洞

不说了,自己想着发挥,面试10条够了

一个w蝰蛇
关注
登录界面漏洞
m0_55772907的博客
04-30 7146
登录页面可能产生哪些漏洞呢? 1、注入点及万能密码登录 2、登录时,不安全的用户提示:比如提示用户名不存在或者密码验证码错误 3、查看登录页面源代码,看是否存在敏感信息泄露 4、不安全的验证码 5、在注册账号的时候,是否存在不安全的提示 6、不安全的密码,在注册账号的时候密码没有限制复杂度 7、任意无限注册账号 8、在暴力破解的时候不会限制ip,锁定用户 9、一个账号可以在多地登录,没有安全提示 10、账户登录之后,没有具备超时功能 11、OA,邮件,默认账号等相关系统,在不是自己注册
简述xss漏洞原理及危害?xss漏洞有哪些类型?xss漏洞哪个类型危害最大?如何防御xss漏洞
DXfighting_的博客
04-14 3929
Xss漏洞原理:服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的。 危害: 1.窃取用户Cookie2.后台增删改文章3.XSS钓鱼攻击4.利用XSS漏洞进行传播和修改网页代码5.XSS蠕虫攻击6.网站重定向7.获取键盘记录8.获取用户信息等 分类: 1、反射型(非持久型) 反射型XSS,又称非持久型XSS,攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,恶意代码并没有保存在目标
登录框漏洞
Grey的博客
08-06 7310
继上次登陆框引起的血案这个文章之后,时隔一个月笔者又写了续集,呃……升华版。 0×00 文章内容结构图 0×01 信息泄露 利用泄露的信息可以大大增加我们的可测试点,从而增加我们的成功率。 1. HTML源代码 必看的肯定要属HTML源代码了,源代码里包含了下面所说的JS文件。HTML源代码会泄露很多信息,像程序员未删除的注释、敏感路径等都可能在HTML源代码中找的到,从来增加发现漏...
WEB漏洞 | 常见漏洞详解与思路技巧!
最新发布
weixin_62641226的博客
06-13 1386
理由:在我们输入了新的口令之后,将它提交给了服务器,但是服务器并不会再次验证现在的用户,而是直接获得了一个用户名或者 ID和一个新的密码,因此,我们跳过了短信验证码验证,重新设置了一个帐号和密码。在恢复密码时,使用的是少量的短信验证码,或者是验证码并没有设定有效的时限,这就使得黑客通过诸如 BP等自动软件的方式,来获取短消息的验证码,这样就会让任何一个账户的密码被重新设置。当你收到使用者输入的链接后,就会进入由攻击方所掌控的网址,而跳转的使用者,则会被骇客所设的仿冒网页,骗取其个人资料及登入密码。
浅谈漏洞思路分享-逻辑漏洞登录页面篇)
qq_52612931的博客
03-13 1701
安服渗透测试项目中网站哪里可能存在逻辑漏洞呢? 这里总结了三大类关于登录页面、会员系统、支付系统共xx种漏洞情况,参考之前hackctf公众号里总结的逻辑漏洞位置一张图提供思路,内容比较多所以分开来写,同时参考网上文章及个人案例进行了总结补充,希望大家多多关注。
登录页面可能存在的漏洞
m0_62207482的博客
03-12 540
常见的登录逻辑漏洞总结
qq_63217130的博客
04-16 2224
遇到登录界面,可以测试的漏洞(授权情况下)
登录页面漏洞总结
本散修的一些学习心得与笔记,道友请自便。
05-21 560
汇总一些项目中经常碰到的,和做项目的时候会用到的测试方法
服务器有哪些漏洞是需要小心防范的?
weixin_45869730的博客
07-22 1181
服务器的安全管理也是让不少人操过心,服务器作为人为设计的产品,由于其硬件和软件的特殊性,肯定是有其漏洞存在的,这是谁都否认不了的事实。能做的就是将一些典型的漏洞进行防护,避免黑客借此攻击服务器,服务器有哪些需要我们仔细防范的漏洞呢?   一、系统漏洞   由于存在漏洞和服务器问题,IIS和Apache网络服务器常常被黑客用来攻击。桌面漏洞有很多,比如我们常见的浏览器等,特别是用户不经常下载更新补丁的时候,这些都是黑客经常使用的漏洞。黑客通过这些应用,不需要经过用户的同意就可疑主动下载非法软件代码,也称作
php 登录漏洞,PHPCMS用户登陆SQL注入漏洞分析
weixin_33856590的博客
03-11 1316
0x00 简述之前manning在调漏洞的时候,突然发现正常登陆不上去了,当时帮忙跟了下phpcms的登陆流程。之后感觉这个流程貌似有些问题,就仔细看了下,没想到真是一个0day~~0x01 漏洞原理我们先直接看这个漏洞最根源的地方,phpsso/index.php文件所有的操作都存在严重的注入问题,这个类文件的构造函数最先调用它的父构造函数,通过auth_key来解析POST传入的data内容,...
关于漏洞"这个页面包含一个错误/警告信息,可能会导致敏感信息泄露"
qq_40085888的博客
05-08 2423
公司开发的软件.在用软件扫描漏洞时,扫出了这么一个漏洞. 可以看出有漏洞的地方是登录页面.在登录中,主要逻辑如下: 一些拒绝登录是通过抛异常->然后捕获异常->获取异常信息->跳回到登录页面并展示错误信息. @RequstMapping("login") public String login(LoginForm loginForm){ try{ ...
登录的漏洞,50%以上的代码都有这种问题!
叁滴水 的博客
08-25 673
笔者开发多年,开发很多项目,登录是一个很常见的一个功能。也是一个很简单的、核心功能。但是就是这么一个简单的、核心的功能,却又很多人忽略了一个重要的点。那就是**验证码暴力破解**。
实战|记一次对某社区登录界面漏洞
南迪叶先森
07-02 625
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 前言 实战漏洞挖掘已经挖了一个月了,但是发现SQL注入、XSS漏洞、验证码绕过这三种漏洞自己挖的比较多,不是很想继续挖这三种漏洞了;毕竟在学院学的远远不止这三种漏洞,所以心血来潮想挖挖越权漏洞。 实战挖掘记录 找了一个可以进行注册账号的站点,使用临时邮箱先注册了一个账号,登录账号; 点击修改资料,稍微修改一下资料,使用burp抓取修改资料的数据包(因为这里如果不修改资料的话burp抓不到账号资料信息),直 接放出数据包后发现数据库.
浅谈漏洞思路分享-只有登录框的渗透测试
m0_60571990的博客
03-09 880
浅谈漏洞思路分享-只有登录框的渗透测试
登录页面渗透测试思路与总结
温柔小薛的博客
04-24 3815
登录页面渗透测试思路与总结 这应该算是面试中出现率很高的一个问题了吧,今天还大体过了一遍渗透测试报告书写流程,比较简单,整体框架基本都是一样的,只是测试出的漏洞内容不同罢了,建议修改规范也差不多是固定的,就不写总结了。 我们在进行渗透测试的时候,常常会遇到许多网站站点,而有的网站仅仅是基于一个登陆接口进行处理的。尤其是在内网环境的渗透测试中,客户常常丢给你一个登陆网站页面,没有测试账号,让你自己...
2024年网络安全最新一个登录框引发的“安全问题”_登录绕过漏洞修复建议
2401_84281729的博客
05-03 995
通常存在于仅适用前端校验,可以通过关闭js特效或者是伪造responsed的code值进行绕过Apache shiro cve-2020-17523 Apache shiro较新的登录认证绕过,大概的方式就是使用空字符绕过示例用户名密码一顿瞎写点击登陆按钮同时使用抓包工具进行数据包拦截将数据包返回至当前页面,修改code值登录成功不使用前端校验,严格校验用户的数据。
登录框界面之渗透测试思路总结
薛定谔嘚喵博客
06-27 3141
大家都知道,渗透的过程中,遇见登录框是很常见的。下面就简单总结一下渗透中遇见登录页面的思路:首先登录页面可能产生哪些漏洞呢?1、弱密码与暴力破解2、万能密码、SQL与XSS(注入)3、登录时,不安全的用户提示:比如提示用户名不存在或者密码验证码错误4、查看登录页面源代码,看是否存在敏感信息泄露5、不安全的验证码6、在注册账号的时候,是否存在不安全的提示7、不安全的密码,在注册账号的时候密码没有限制复杂度8、任意无限注册账号9、在暴力破解的时候不会限制ip,锁定用户。
基于PHP网站登录验证漏洞攻击及修复办法演示系统-计算机毕业源码设计
计算机源码设计案例的博客
04-23 349
开发软件:Dreamweaver + Mysql 开发技术:PHP,HTML,DIV+CSS 在功能上要求可以进行SQL语句的实现,从而可以进行SQL注入漏洞测试,开发人员编写修复程序来对漏洞进行修复。本文首先利用PHP语言开发实现了具有登录功能和注册功能的网站。登录功能,用户在网站的登录界面输入用户名和密码进行身份的验证,进而登录网站,在数据库中的功能表现为SQL语句的查询功能;注册功能,用户输入用户名和密码进行用户身份注册,进而才可以在登录界面上进行登录,在数据库中的功能表现为SQL语句的添加功能。
php 万能密码,万能密码漏洞利用
weixin_29726381的博客
03-11 660
【脚本漏洞】所谓万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站所以称之为万能。自己也有过收集,别人总结的我又添加了几个asp aspx万能密码1:”or “a”=”a2: ‘)or(‘a’=’a3:or 1=1–4:’or 1=1–5:a’or’ 1=1–6:”or 1=1–7:’or’a’=’a8:”or”=”a’=’a9:’or”=’10:’or...
用户可控的js数据输入到html页面中产生漏洞
07-31
用户可控的 JavaScript 数据输入到 HTML 页面中可能导致的漏洞是跨站脚本攻击(XSS)。 当用户在输入框或文本区域中输入恶意 JavaScript 代码时,如果不进行适当的过滤和转义,这些代码将被直接渲染到 HTML 页面上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值