【Web攻防之业务安全实战指南】第4章 登录认证模块测试

已于 2023-09-20 23:44:57 修改
阅读量159 收藏
点赞数
分类专栏: 《Web攻防之业务安全实战指南》技术篇复现 文章标签: web安全
于 2023-09-03 17:34:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45196785/article/details/132652443
版权

视频教程

《Web攻防之业务安全实战指南》技术篇复现 4.1 暴力破解测试_哔哩哔哩_bilibili

《Web攻防之业务安全实战指南》技术篇复现 4.2 本地加密传输测试_哔哩哔哩_bilibili

《Web攻防之业务安全实战指南》技术篇复现 4.3.1 Session会话固定测试_哔哩哔哩_bilibili

《Web攻防之业务安全实战指南》技术篇复现 4.3.2 Seesion会话注销测试_哔哩哔哩_bilibili

《Web攻防之业务安全实战指南》技术篇复现 4.4 Cookie仿冒测试_哔哩哔哩_bilibili

《Web攻防之业务安全实战指南》技术篇复现 4.5 密文比对认证测试_哔哩哔哩_bilibili

《Web攻防之业务安全实战指南》技术篇复现 4.6 登录失败信息测试_哔哩哔哩_bilibili

4.1 暴力破解测试

4.1.1 测试原理和方法

暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密码进行逐一比较,直到找出正确的账号与密码。一般分为以下三种情况:·在已知账号的情况下,加载密码字典针对密码进行穷举测试;·在未知账号的情况下,加载账号字典,并结合密码字典进行穷举测试;·在未知账号和密码的情况下,利用账号字典和密码字典进行穷举测试。

4.1.2 测试过程

靶场:pikachu-暴力破解-基于表单的暴力破解

靶场下载链接:pikachu

URL:http://192.168.0.108/pikachu/vul/burteforce/bf_form.php

1.设置用户名/密码:admin/admin,点击login,然后开启burp拦截数据包

2.发送到Intruder模块,sniper模式,标记password变量
3. 导入 top500.txt字典进行爆破
字典链接: fuzzDicts
.\fuzzDicts\passwordDict\top500.txt
4.成功登录,爆破出密码:123456

4.1.3 修复建议

  1. 增加验证码,登录失败一次,验证码变换一次。
  2. 配置登录失败次数限制策略,如在同一用户尝试登录的情况下,5分钟内连续登录失败超过6次,则禁止此用户在3小时内登录系统。
  3. 在条件允许的情况下,增加手机接收短信验证码或邮箱接收邮件验证码,实现双因素认证的防暴力破解机制。

4.2 本地加密传输测试

4.2.1 测试原理和方法

本机加密传输测试是针对客户端与服务器的数据传输,查看数据是否采用SSL (Security Socket Layer,安全套接层)加密方式加密。

4.2.2 测试过程

使用Wireshark网络抓包工具对本地网卡进行数据捕获,访问要测试的HTTPS协议网站,并输入用户名及密码进行登录操作

URL:百度一下,你就知道

2.在Wireshark工具捕获流中找到对应HTTPS测试网站并查看数据是否加密

Wireshark下载链接:Wireshark · Download

4.2.3 修复建议

在架设Web应用的服务器上部署有效的SSL证书服务。

4.3 Session测试

4.3.1 Session会话固定测试

4.3.1.1 测试原理和方法

Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时,应将客户端Session认证属性标识清空。如果未能清空客户端Session标识,在下次登录系统时,系统会重复利用该Session标识进行认证会话。攻击者可利用该漏洞生成固定Session会话,并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。

4.3.1.2 测试过程

靶场:dvwa-login

靶场下载链接:DVWA

URL:http://192.168.0.108/dvwa

1.用户名/密码:admin/password,点击login,burp拦截

PHPSESSID=af17p9g9k427hgm8e56f043rd1

2.退出后重新登录,对比两次PHPSESSID,与上次登录PHPSESSID值相同

PHPSESSID=af17p9g9k427hgm8e56f043rd1

4.3.1.3 修复建议

在客户端登录系统时,应首先判断客户端是否提交浏览器的留存Session认证会话属性标识,客户端提交此信息至服务器时,应及时销毁浏览器留存的Session认证会话,并要求客户端浏览器重新生成Session认证会话属性标识。

4.3.2 Seesion会话注销测试

4.3.2.1 测试原理和方法

Session是应用系统对浏览器客户端身份认证的属性标识,在用户注销或退出应用系统时,系统应将客户端Session认证属性标识清空。如果未能清空Session认证会话,该认证会话将持续有效,此时攻击者获得该Session认证会话会导致用户权限被盗取。

4.3.2.2 测试过程

靶场:pikachu-CSRF-CSRF(get)

靶场下载链接:pikachu

URL:http://192.168.0.108/pikachu/vul/csrf/csrfget/csrf_get_login.php

1.用户名:vince,密码:123456

2.burp拦截,浏览器刷新,并发送到Repeater模块

PHPSESSID=dg6iq75rost54u99541ttlis97

3.登录状态下重放请求包,返回200,可以查看个人信息

4.退出登录后重放授权访问请求,无法查看个人信息,系统解除退出后的用户Session授权

4.3.2.3 修复建议

在用户注销或退出应用系统时,服务器应及时销毁Session认证会话信息并清空客户端浏览器Session属性标识。

4.4 Cookie仿冒测试

4.4.1 测试原理和方法

服务器为鉴别客户端浏览器会话及身份信息,会将用户身份信息存储在Cookie中,并发送至客户端存储。攻击者通过尝试修改Cookie中的身份标识,从而达到仿冒其他用户身份的目的,并拥有相关用户的所有权限。

4.4.2 测试过程

靶场:mutillidae-OWASP 2017-A2 - Broken Authentication and Session Management(身份验证与会话管理)-Authentication Bypass(身份验证绕过)-Via Cookies(通过Cookie)

靶场下载链接:mutillidae

URL:http://192.168.0.108/mutillidae/index.php?page=privilege-escalation.php

1.注册账号,账号密码都为ikun123,签名:I love singing, dancing, rapping, and basketball.

2.点击OWASP 2017

A2 - Broken Authentication and Session Management(身份验证与会话管理)

Authentication Bypass(身份验证绕过)

Via Cookies(通过Cookie)

3.burp拦截,浏览器刷新,修改uid=1

4.返回浏览器查看用户名已改变

5.点击admin,通过篡改uid身份标识改变登录系统人员身份信息

4.4.3 修复建议

建议对客户端标识的用户敏感信息数据,使用Session会话认证方式,避免被他人仿冒身份。

4.5 密文比对认证测试

4.5.1 测试原理和方法

在系统登录时密码加密流程一般是先将用户名和密码发送到服务器,服务器会把用户提交的密码经过Hash算法加密后和数据库中存储的加密值比对,如果加密值相同,则判定用户提交密码正确。但有些网站系统的流程是在前台浏览器客户端对密码进行Hash加密后传输给服务器并与数据库加密值进行对比,如果加密值相同,则判定用户提交密码正确。此流程会泄漏密码加密方式,导致出现安全隐患。

4.5.2 测试过程

靶场:4_5.zip

靶场下载链接:

gitee:4_5.zip

URL:http://192.168.0.108/4_5/4_5.html

1.使用Burp Suite工具抓包证实Web系统登录口令为MD5加密传输

2.分析前端代码判断密码是md5加密

3.在Payload Processing中配置密码处理类型

4.通过暴力破解测试得到返回长度不一样的包,显示登录成功

5.利用在线md5解密网站查询密码

MD5免费在线解密破解_MD5在线加密-SOMD5

4.5.3 修复建议

将密码加密过程及密文比对过程放置在服务器后台执行。发送用户名和密码到服务器后台,后台对用户提交的密码经过MD5算法加密后和数据库中存储的MD5密码值进行比对,如果加密值相同,则允许用户登录。

4.6 登录失败信息测试

4.6.1 测试原理和方法

在用户登录系统失败时,系统会在页面显示用户登录的失败信息,假如提交账号在系统中不存在,系统提示“用户名不存在”、“账号不存在”等明确信息;假如提交账号在系统中存在,则系统提示“密码/口令错误”等间接提示信息。攻击者可根据此类登录失败提示信息来判断当前登录账号是否在系统中存在,从而进行有针对性的暴力破解口令测试。

4.6.2 测试过程

靶场:pikachu-敏感信息泄露- IcanseeyourABC

靶场下载链接:pikachu

URL:http://192.168.0.108/pikachu/vul/infoleak/findabc.php

1.用户名test,密码test,系统返回信息“您输入的账号错误”,系统间接提示登录账号不存在

2.用户名lili,密码lili,系统返回信息“您输入的密码错误“,系统间接提示登录账号存在,密码错误

3.因为系统返回信息“您输入的账号错误”“您输入的密码错误“长度一样,无法通过看返回包长度判断爆破结果,参考以下文章利用正则匹配用户名枚举

关于burpsuite在intruder返回包中,对内容进行匹配_burpsuite返回结果对消息用正则匹配_后土轮回台的博客-CSDN博客

'您输入的密码错误'.encode('utf-8')
\xe6\x82\xa8\xe8\xbe\x93\xe5\x85\xa5\xe7\x9a\x84\xe5\xaf\x86\xe7\xa0\x81\xe9\x94\x99\xe8\xaf\xaf

4.枚举出用户名lili

5.将用户名设置为lili,爆破密码123456

4.6.3 修复建议

对系统登录失败提示语句表达内容进行统一的模糊描述,从而提高攻击者对登录系统用户名及密码的可猜测难度,如“登录账号或密码错误”、“系统登录失败”等。

挖个洞先
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初步了解爆破(附Burp suite)
small_whitehat的博客
02-08 437
简介爆破
Burp Suite —— 验证码识别、切换IP
hackzkaq的博客
12-15 3052
`搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具` 验证码识别 前言 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,其各个组件之间可灵活配合,可定制化程度极高,正可谓居家旅行杀人越货必备之神器。 但是当遇到各式各样的验证码,防火墙等场景,神器也无从下手。有幸 Burp Suite 提供了非常强大的开发接口,可根据需求自行强化。 快速开发 既然要敏捷开发,采用轻量级的脚本 python 来实现拓展最为快速灵活,也懒得去拖 swing 界面做交互,参数对应修改就行。 本
【2023最新版】超详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
2201_75735270的博客
10-31 2852
【2023最新版】超详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本)
weixin_45116657的博客
08-25 4578
目录: 一、SQL盲注 SQL盲注与SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于间的盲注; 一、SQL盲注简介 1、SQL盲注: 盲注:SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
session利用的小思路
kali_Ma的博客
01-07 1460
session利用的小思路 前言 做题的候经常考到session利用,常见的基本就两种,session文件包含和session反序列化,之前没有详细总结过,就写写吧。 session文件包含 php.ini session的相关配置 session.upload_progress.enabled = on //enabled=on表示upload_progress功能开始,也意味着当浏览器向服务器上传一个文件php将会把此次文件上传的详细信息(如上传间、上传进度等)存储在session当 ; s
Web攻防业务安全指南(网盘下载)-附件资源
03-02
Web攻防业务安全指南(网盘下载)-附件资源
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
03-23
这个平台是《Web安全攻防:渗透测试实战指南》一书的实践工具,提供了对XSS漏洞进行探测和分析的功能。"原始码"表明这是该平台的源代码,意味着我们可以深入了解其工作原理并根据需要进行定制或扩展。 【描述详解...
读书笔记:Web安全攻防渗透测试实战指南.zip
最新发布
07-22
读书笔记:Web安全攻防渗透测试实战指南
Burp Suite使用介绍
06-07 1411
http://drops.wooyun.org/tools/1548 Burp Suite使用介绍(一) Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的
使用burpsuite对APP数据包进行安全测试
馒 的技术空间
05-17 2723
如上一篇文将手机抓包监听环境设置好后,主要用到的功能如下:1-1、数据包篡改截获包后,可以对数据包的内容在Raw标签框直接进行修改,然后选择Forward按钮发出,或者选择Drop丢弃。例如,如图将word=ab修改为word=cc后,浏览器会显示“cc”的搜索结果。可以在登录过程登录参数进行修改后forward包来进行一些测试。1-2、重放攻击重放攻击或者修改后发包,在拦截页面选择ac...
burpsuite只拦截特定网站数据包教程
weixin_34267123的博客
05-11 9542
一、背景说明 在配置burpsuite代理截包经常会遇到这样的情况: 浏览器经常自己发一些包(收集用户信息),干挠渗透测试人员对目标网站的检测; 如果是代理手机,那就是很多APP都发一些包,干挠渗透测试人员对目标APP的检测。   浏览器和APP发包我们是不好限制,但burpsuite有只拦截指定的网站的数据包,其他网站的数据包默认放行的配置。   二、操作说明 启动burpsuite--...
[Web安全入门]BURP基本使用详解
热门推荐
_DESpiSED的博客
09-17 1万+
本文详细介绍BURP的基本使用方式,适合小白观看
Burp Suite拦截HTTPS请求
xiaobai178的博客
04-06 1186
转载自:https://blog.csdn.net/u011781521/article/details/54450658 一、简介 在使用Burp site对HTTPS进行拦截他会提示,你的连接不是私密连接或此连接不信任等,这是由于通常情况下burp默认只抓HTTP的包,HTTPS因为含有证书,因而无法正常抓取,抓HTTPS数据包就需要设置可信证书。 二、配置 1、配置浏览器代理(目前支持:IE、Firefox、Chrome、Safari、IPhone、Android) 拿Chrome为例: 设置--
信息安全技术实验:利用 burp suite破解 web 后台
qq_43605229的博客
09-11 2089
破解后可以看到,密码为“letmein”的Location为index.php成功登录,而其他密码仍为login.php,因此密码为letmein。设置ip地址后打开拦截,在浏览器输入账号pablo,密码LinChuanTao,可以看到账号与密码信息已经被拦截。进入以下网站,进入登录界面,这是输入账号pablo,密码LinChuanTao,无法登录。关闭软件拦截输入账号pablo,密码letmein,成功破解,登录成功。首先,打开虚拟机,登录,看到本机ip地址为192.168.75.130。
Burp基本用法
qq_28728655的博客
09-06 4103
1、设置代理 推荐使用火狐,谷歌浏览器。 在设置的—>常规拉到最下面有个网络设置。 然后输入常用的登录界面 在百度搜索打开:inurl:admin 或者inurl:login 然后开始使用burp工具 在登录界面输入账号密码 然后打开burp软件的代理: 然后点Intercept界面,先确保是OFF状态,在浏览器输入账号密码之后,打开Intercept(ON),就能够采集到刚才的动作。 然后就能得到浏览器的输入情况 右键或者点add,选择send to intruder。 然后点击右边的cl
Burp suite之拦截响应报文
weixin_46962006的博客
11-13 7419
                       拦截响应报文 工具的准备 Burp suite(自寻网上安装教程) 谷歌或者火狐等浏览器(这里使用谷歌) 设置代理 设置截取 获得响应报文 总结 响应报文被拦截后,可以进行篡改。 响应报文再点击发送,还是会发给浏览器的。 ...
使用burpsuite对web进行账号密码暴力破解
weixin_52514668的博客
04-07 3808
一、打开环境 1.打开php 2.打开burp suite 3.打开小狐狸,进入127.0.0.1/pikachu 二、Repeater (重发器) 1.访问pikachu 多次进行用户名和密码的登录 !描述 2.burp suite 抓包 3.repeater 重发 4.随意更改密码进行收发 二. Intruder 破解 1.只框密码 (需要配置字典) 2.用户名和密码一起破解 (配置要变化的数据 然后配置字典 进行批量攻击 查看差异——找到正确的密码)
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 6850
转移发布平台通知:将不再在CSDN博客发布新文,敬请移步知识星球... ...
Web前端黑客攻防技术详解:实战安全策略
Web前端黑客技术揭秘》是一本实用的指南,它不仅为前端工程师提供了深入学习和防护知识的基础,也为对Web前端安全感兴趣的读者揭示了黑客攻防的深层原理。通过对这些关键技术的深入学习,读者不仅能增强自己的网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值