一、漏洞类型
● 实体漏洞
:
XSS ( 将传入的参数作为 JS 程序来执行 )SQL 注入 ( 将传入的参数作为数据库的 sql 语句来执行 )CSRF( 伪造一个链接页面,客户端请求伪造 )变量覆盖,代码执行漏洞用户传入的参数都会作为程序的某一部分来执行
● 逻辑漏洞
因为代码逻辑出现问题,产生了漏洞
二、逻辑漏洞产生的原因
● 程序设计思路出现了问题 ( 开发人员的问题 )● 项目衔接出现了问题( 新人和老员工之间交接的问题 )● 项目经理经验不足,造成程序设计出现问题
三、验证码绕过漏洞的危害
验证码复用、验证码存在爆破、验证码能否被识别用户验证码存在于前端情况和后端情况 , 如果存在于前端说明程序是不安全的用户找回密码使用验证码,修改 res 数据包,绕过程序用户重定向 : 在输入验证码修改用户 A 的密码过程中,我将即将修改的 A 的数据包改为修改 B 的密码,那么直接修改了 B 的密码 <--- 修改用户标识信息实现绕过验证验证码回显 : 例如邮箱验证码 , 手机验证码等等。验证码出现在响应数据包中,可以直接查看验证码
验证码绕过漏洞
什么是验证码人机交互公共全自动图灵测试,主要作用实现区分是计算机还是人
验证码的分类
● 区分是人还是计算机 <--- 图片验证码● 识别身份 短信验证码,邮箱