前言:
最近工作项目都比较忙,难得稍微有点时间,我来分享一下最近解决的一个账号登录方面的安全问题。
概述:
说到账号登录接口方面的安全问题,大概是分为以下几种:
- SQL注入
- 暴力爆破
- 伪造响应服务器
我们开发目前防止这些情况出现,最常见的方案就是明文加密,各种各样的验证码、手机短信验证、特殊字符戳过滤、ip白名单、ip黑名单,密文传输等等
问题介绍:
这个项目是一个表单报名项目,前后端分离,前端用的是VUE,后端用的是TP5,流程是用户进行填写会议的密码和验证码,然后如果验证成功就会进入到表单报名的页面。而这次安全问题是出现在密码验证这部分。
问题验证过程如下:
第一步:创建会议,密码1234,选择会议报名,输入密码1,抓包,如下:
第二步:拦截返回包,将code的值从1改为0,如下: