基于Burpsuite的安全测试六:登录认证模块-密文对比认证测试

最新推荐文章于 2024-02-27 15:03:28 发布
最新推荐文章于 2024-02-27 15:03:28 发布
阅读量761 收藏 2
点赞数
分类专栏: 安全测试 文章标签: Burp Suite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chang_jinling/article/details/92382388
版权

基于Burpsuite的安全测试六:密文对比认证测试

情景1:用户密码加密方式

  1. 在前台浏览器客户端对密码进行加密,即登录时提交密码为加密后的密文传输,这个密文是前端通过本地JS脚本实现的,如本系统为MD5加密这样可以通过暴力破解方式得到用户的登录密码
  2. 在服务器端对密码进行加密算法,即服务端收到用户名密码后才经过加密算法和数据库对比,相同则可登录。
  3. 第二种比较安全,因为第一种方式很容易从代码中获取到加密过程。

系统修复方案:

最好将密码加密过程和密文对比过程放在服务器后台执行,后台通过指定的加密方式将密码加密处理后和后台数据库中加密保存的密码做对比,相同则允许登录。

无名小卒Rain
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试面试题
千寻的博客
12-31 11万+
渗透测试面试题 一.思路流程 1.信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) 子域名收集,旁站,C段等 google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 扫描网站目录结构,爆后台,网站banner,测试文件,...
扫描器篇(四)之python开发一款属于自己的基于表单的密码破解程序
weixin_44344395的博客
03-22 443
在线密码破解 什么是在线密码破解 针对在线服务的认证凭证进行合法的用户枚举 离线密码破解:拿到密文之后去破解 Web安全中用来破解的工具Burpsuite 基于表单验证的破解 基于http认证的破解 环境搭建 phpstudy启动对应服务 mysql创建本次实验所需环境 创建数据库/数据表/插入数据 编登录页面 ...
burpsuite爆破密码说明
11-11
使用burpsuite爆破密码具体步骤,包含截图。
密文比对认证
Andrew的博客
02-09 1300
一.密文比对认证介绍 在系统登录时密码加密正确流程是先将用户名和密码发送到服务器,服务器会把用户提交的密码经过Hash算法加密及加盐后和数据库中存储的加密值比对,如果加密值相同,则判定用户提交密码正确。  有些网站系统的密码加密流程是在前台浏览器客户端先对密码进行Hash加密后传输给服务器并与数据库加密值进行对比,如果加密值相同,则判定用户提交密码正确。以此流程会泄露密码加密方式,导致出现安全...
登录认证模块密文对比认证
千寻的博客
10-17 728
密文对比认证 介绍 在系统登录时密码加密正确流程是先将用户名和密码发送到服务器, 服务器会把用户提交的密码经过Hash算法加密及加盐后和数据库中存储的加密值比对, 如果加密值相同,则判定用户提交密码正确。 危害 有些网站系统的密码加密流程是在前台浏览器客户端先对密码进行Hash加密后传输给服务器并与数据库加密值进行对比, 如果加密值相同,则判定用户提交密码正确以此流程会泄漏密码加密方式,导致出现安全隐患。 密码加密方式泄露 原理流程图 登录测试 抓取登录处的数据报,发现密码是加密的 对密码
密文比对认证测试
酷狗直播-锦凡歆的博客
05-20 495
密文比对认证测试 在系统登录时密码加密流程一般是先将用户名和密码发送到服务器,服务器会把用户 提交的密码经过Hash算法加密后和数据库中存储的加密值比对,如果加密值相同,则判 定用户提交密码正确。 但有些网站系统的流程是在前台浏览器客户端对密码进行Hash加密后传输给服务器 并与数据库加密值进行对比,如果加密值相同,则判定用户提交密码正确。此流程会泄漏 密码加密方式,导致出现安全隐患 作...
基于Burpsuite安全测试三:登录认证模块-本地加密传输测试
chang_jinling的专栏
06-16 1106
基于Burpsuite安全测试三:本地加密传输测试 情景1:登录某系统时查看用户名密码是否加密传输 客户端与服务器之间的数据传输过程中查看数据是否通过SSL加密方式加密。 访问https系统,并用用户名密码登录,通过Burp suite查看请求数据包是否为加密传输。 系统修复方案: 在服务器上部署SSL证书服务。 ...
Burp Suite使用介绍总结
h4ck0ne的博客
01-23 5323
Burp Suite使用介绍(一) 小乐天 · 2014/05/01 19:54 Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。本文主要介绍它的以下特点: 1.T
软件测试知识概括
weixin_41005188的博客
06-01 4948
软件测试知识概括软件测试基础软件测试详解软件测试拓展Fiddler抓包工具总结Jmeter(压力测试工具) 软件测试基础 什么是软件: 软件是计算机程序、程序所用的数据以及有关文档资料的集合。 软件是计算机的灵魂。软件又可以分为两大类:系统软件和应用软件。 系统软件:系统软件是生成、准备和执行其他程序所需要的一组文件和程序。如操作系统Windows,数据库SQL-Server,驱动程序(网卡,声卡),java语言系统编译环境等。 应用软件:计算机用户为了解决某些具体问题而购买、开发或研制的各种程序或软件包
渗透测试学习目录
liupc的学习笔记
05-04 3322
1. 行业术语扫盲 2. 3.
双向SSL认证配置说明
10-18
双向SSL认证配置说明,结合数字证书,实现服务器与客户端双向安全通信认证
burp-suite的intruder模块破解基于Cookies验证码的表单.pdf
09-14
burp-suite的intruder模块破解基于Cookies验证码的表单.pdf
【精华】android抓包https(tls)全教程,openssl生成burpsuite证书,并导入
最新发布
键盘的起始页
02-27 1321
为什么需要365天证书,因为chrome等一些软件会检测证书时长,太长了报错:证书有效期过长的错误1、openssl生成burpsuite证书然后一路按回车,直到生成2、生成p12证书文件自定义一个密码,比如1234563、导入到burpsuite,点击代理-选项-导入/导出ca证书-进口(import)-来自pkcs12密钥库的证书和密钥,选择burp.pfx文件,输入密码,点击下一步完成。
使用burp suite或fiddler进行越权测试的步骤
热门推荐
shengnan_only的博客
03-26 2万+
一、什么是越权漏洞?它是如何产生的? 越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。 二、越权漏洞的分类? 主要分为水平越权和垂直越权,根据我们的业务通俗的表达一...
安全测试的考虑点及测试方法
xiaof_567的专栏
11-12 5898
软件安全性测试主要包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户认证安全的测试要考虑问题: 1.         明确区分系统中不同用户权限 2.         系统中会不会出现用户冲突 3.         系统会不会因用户的权限的改变造成混乱 4.         用户登陆密码是否是可见、可复制 5.         是否可以通过绝对途径登陆系统(拷贝
测试技术方法
sterson的博客
03-30 8132
等价类划分类 什么是等价类 等价类是某个输入域的集合,在这个集合中每个输入条件都是等效的。如果其中一个的输入不能导致问题发生,那么集合中其它输入条件进行测试也不可能发现错误。等价类分为有效等价类和无效等价类。 有效等价类 有效等价类就是由那些对程序的规格说明有意义的、合理的输入数据所构成的集合,利用有效等价类可检验程序是否实现了规格说明中所规定的功能和性能。 无效...
APP安全测试小技巧
学者博客
03-27 1923
APP安全测试小技巧---证书校验绕过 随着移动互联网的快速发展,很多业务已转移到移动端进行运营,随之而来的就是移动端的安全问题,在早期移动互联网刚刚兴起的时候,很多APP没有重视安全问题,故而没有进行一定的防护,换而言之就运行在手机端的web程序,所以早期安全测试很简单,也很容易发现问题(这里不讨论漏洞问题,只是介绍一个测试小技巧)。 常用的web安全测试往往会借助Burpsuite这个神器...
IBM安全测试工具
jad's blog
12-16 429
网站入侵检测工具 测试SQL脚本注入、跨站脚本、缓存之类的。。 Rational AppScan下载页面
Burp Suite渗透测试教程:Proxy模块详解
"Burp Suite 是一款集成的网络安全测试工具,尤其针对Web应用程序。它包含多个工具,并提供接口加速对应用程序的攻击过程。主要功能包括HTTP消息处理、持久性管理、认证、代理、日志记录和警报。Burp Suite 的核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值