【漏洞挖掘】——147、短信验证码复用测试

已于 2024-08-05 16:33:59 修改
阅读量3 收藏
点赞数
分类专栏: 【WEB渗透】 文章标签: 逻辑漏洞 web渗透 web安全 web漏洞 漏洞挖掘 信息安全 渗透测试
于 2024-08-05 16:23:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140930135
版权
【WEB渗透】 专栏收录该内容
145 篇文章 10 订阅 ¥29.90 ¥99.00
订阅专栏
基本介绍

在网站的登录或评论等页面,如果验证码认证成功后没有将session及时清空将会导致验证码首次认证成功之后可重复使用,测试时可以抓取携带验证码的数据包重复提交来查看是否提交成功

测试过程

攻击者填写投诉建议输入页面验证码,抓取提交的数据包,使用发包工具对数据包进行重复提交,然后查看投诉建议页面是否成功提交了多个投诉信息

漏洞案例

Step 1:登录系统并使用短信验证码登录

Step 2:发现可以多次使用验证码进行登录操作,验证码使用过后不失效,且可以多次复用

修复建议

对验证码时效性进行检验,验证码只允许使用一次

FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
短信验证码逻辑漏洞学习——各种绕过姿势技巧
记录并分享学习安全的知识点..
04-04 1406
短信验证码逻辑漏洞学习——各种绕过姿势技巧
漏洞挖掘】——133、 逻辑漏洞之暴力破解测试
Fly_鹏程万里
07-26 26
在已知账号的情况下,加载密码字典针对密码进行穷举测试在未知账号的情况下,加载账号字典并结合密码字典进行穷举测试在未知账号和密码的情况下,利用账号字典和密码字典进行穷举测试
漏洞挖掘】——145、 图片验证码绕过/复用
最新发布
Fly_鹏程万里
08-05 2
图片验证码作为一种安全防护策略对攻击者的暴力破解等攻击进行防御处理,但是部分图片验证码并未在后端进行校验或者允许多次复用导致用户可以通过图片验证码的设计缺陷来对系统用户进行枚举或者暴力破解处理。
CSRF漏洞之——漏洞复现
wsnbbz的博客
03-04 3176
介绍 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的...
安服/渗透测试面试问题总结
Sumarua的博客
04-17 7476
文章目录HR面问题对我们公司有什么了解,为什么选择本公司为什么想要应聘这个职位对安全服务是怎么理解的如果我不知道渗透测试,两分钟说一下如果我是一个汽车厂商,你如何证明你的工作是有意义的?作为应届生,你如何能胜任该职位你有什么职业规划如果离职的话是因为什么原因你有什么优缺点对于薪资的要求给不了这么多工资可以接受吗?为什么想要这个数?进入部门后,你需要多长时间进入项目?上一个面试的人能力跟你差不多,但是工资方面比你要的低?是否可以接受加班(沟通能力)和领导、同事产生分歧会怎么办工作一段时间后,发现工作不是想象中
软件测试安全怎么做?
06-08 1万+
安全测试1.安全测试在做什么?2.安全测试者是怎样定位自己的?3.安全的本质是什么?4.概念定义5.我们应该如何去着手5.1.测试的特性5.1.1.操作系统安全5.1.2.数据库5.1.3.web安全5.1.4.软件的发布与安装安全5.1.5.协议与接口攻防5.1.6.敏感数据保护5.1.7.手机端安全5.1.8.静态代码分析(纯白盒)5.2.WEB安全测试5.2.1.身份验证5.2.2.验证码 (普通验证码、知识验证码、无需思考的滑动验证码)5.2.3.会话管理5.2.4.权限管理5.2.5.敏感信息传输
渗透测试-干货 | 80篇+网络安全面试经验帖(面试篇)
lza20001103的博客
07-27 2724
渗透测试-干货 | 80篇+网络安全面试经验帖(面试篇)
求职之测试开发技能准备
热门推荐
312小公举的专栏
10-17 1万+
负载测试 负载测试(Load testing),通过测试系统在资源超负荷情况下的表现,以发现设计上的错误或验证系统的负载能力。在这种测试中,将使测试对象承担不同的工作量,以评测和评估测试对象在不同工作量条件下的性能行为,以及持续正常运行的能力。负载测试的目标是确定并确保系统在超出最大预期工作量的情况下仍能正常运行。此外,负载测试还要评估性能特征。例如,响应时间、事务处理速率和其他与时间相关的方面
黑盒渗透测试的一些姿势和个人总结
qdslg的专栏
08-26 1753
前记 对于“渗透测试”这个事,我也时常纠结,尤其在“度”的方面上,毕竟自己还很年轻。个人感觉,渗透是在不影响单位正常运营的前提下的一场完整攻击,目标是一个面不是一个点。但是,大家都懂得2333。 入坑以来,跟着网上师傅们分享的各种好文章划来划去,终于肚子里有点墨水挤出来了,水了一篇基于隐秘测试的黑盒渗透测试的小文分享一下。本文主要分享下一些姿势和个人总结,文章涉及的工具可能比较多,就不一一举例...
产品测试文档
2401_86317960的博客
07-17 798
软件的三要素程序(实行特定功能的代码) 文档(支持代码运行) 数据(支持程序运行一切有关)软件的产品理论软件。
复用测试用例研究
03-02
软件测试的关键环节是设计和执行...测试用例复用是可行和必要的,表现在:1)软件测试测试人员的经验和技能要求高,通过复用,可提高测试人员技能,解决其经验不足的问题,同时提高软件测试质量;2)软件测试是当前保
swift 3.0 实现短信验证码倒计时功能
08-31
总之,Swift 3.0实现短信验证码倒计时功能的关键在于创建一个管理倒计时逻辑的类,利用`Timer`对象进行定时更新,并通过观察者模式更新界面。通过这样的设计,你可以轻松地在多个界面中复用这个功能。记得根据你的...
软件测试用例的复用性如何提高
03-23
软件测试用例的复用性如何提高软件测试对于测试用例的复用,我想很多测试工程师都会非常有话说,系统变更频繁,业务变化大,工作流不统一等等,很多现实存在的问题,都阻碍了测试用例的复用发展进程,但是金融风暴下...
验证码的三个常见漏洞和修复方法
09-03
然而,验证码系统并非无懈可击,它们可能存在一些漏洞,导致安全性降低。本文将深入探讨验证码的三个常见漏洞,并提供相应的修复策略。 首先,我们来看第一个漏洞:将验证码存储在Cookie中。通常情况下,验证码会被...
web安全基础学习
m0_71332744的博客
07-31 360
记录学习的原理,少有实操持续更新
蓝屏事件:网络安全的启示
m0_67187271的博客
08-04 703
这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。该事件突显了在快速迭代的软件更新周期中,充分的测试和评估的重要性。通过强化日志管理、质量管理、风险评估以及灾难恢复计划,结合冗余系统设计和自动化监控工具的应用,我们能够显著提高对类似大规模故障的预防能力和应对速度,为确保系统的稳定性和可靠性奠定坚实的基础。
网络安全防御【IPsec VPN搭建】
miss_copper的博客
07-25 1687
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段。登录成功之后需要修改你的密码才能进入防火墙的用户视图。IPsec策略协商成功!成功修改为主备模式!
【等保测评】网络安全服务认证技术规范(等级保护测评)
weixin_45840241的博客
08-02 575
5.1.3.4 报告编制阶段,应客观描述等级保护对象已采取的有效保护措施和存在的主要安全问题情况, 指出等级保护对象安全保护现状与相应等级的保护要求之间的差距,分析差距可能导致被测评系统面临的风险,给出等级保护测评结论,形成测评报告,测评报告应依据公安行政主管部门统一制订的网络安全等级保护测评报告模版的格式和内容要求编写,测评报告应通过评审并有相关记录。依据 GB/T 36959 提出的等级保护测评服务人员能力要求, 经授权的等级保护测评人员能力评估机构考核通过的专业测评技术人员。
网络安全之不同阶段攻防手段(四)
子非渔
07-25 907
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值