Token防爆破?—Token绕过:(本文仅供技术学习与分享)
实验环境
皮卡丘靶场:暴力破解—token防绕过?
实验步骤
- 查看页面源码,发现表单中隐藏的input的标签里面有个隐藏的Token。该Token是用户在打开页面的时候,向后台请求一个Token,后台就会产生一个新的token;
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/ceb0eaebe08a08f7b53fd06c9e51b785.png)
- 当用户提交账号和密码的时候,也会提交token值,后端会先对token进行验证。
- 但是该token在认证之前,会以字符串明文的方式输出到表单中,并且会被用户的脚本获取,因此无法防止暴力破解。
暴力破解防范措施
- 设计安全的验证码;
- 对认证错误的提交进行计数,并且限制,例如5次错误锁定2小时;
- 设置双因素认证。