Web安全之逻辑漏洞类
。。。
红烧兔纸
加油,冲鸭!!!
展开
-
DVWA通过教程之不安全的验证码 Insecure CAPTCHA
关于验证码的还可学习下:浅谈“验证码功能缺陷”Insecure CAPTCHAInsecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌的验证码表示不背这个锅。一开始访问是这样的页面:转载 2020-09-26 11:02:25 · 1421 阅读 · 0 评论 -
浅谈“短信攻击”
可在“博客园”上学习https://ww.cnblogs.com/lmbb/p/13446666.html原创 2020-08-06 15:34:22 · 486 阅读 · 0 评论 -
浅谈“慢速HTTP攻击Slow HTTP Attack”
一:漏洞名称:Slow Http attack、慢速攻击描述:HTTP慢速攻击也叫slow http attack,是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用慢速发HTTP请求,就会导致占用一个HTTP连接会话。如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。Slow Attack 大致可分为以下几种:Slow headers(也称slowloris):每个 HTT原创 2020-07-31 10:45:14 · 6754 阅读 · 0 评论 -
浅谈“越权访问”
一:漏洞名称:越权访问漏洞描述:越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐后后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。其与未授权访问有一定差别。目前存在着两种越权操作类型:横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源;而后者指的是一个低级别攻击者尝试访问高级别用户原创 2020-07-29 11:57:12 · 2598 阅读 · 0 评论 -
浅谈“验证码功能缺陷”
一:漏洞名称:验证码功能缺陷、验证码失效描述:验证码就是每次访问页面时随机生成的图片,内容一般是数字和字母(复杂点的就是识别图片内容,计算图片中加减乘除的结果等验证码),需要访问者把图中的数字字母填到表单中提交,这样就有效地防止了暴力破解。验证码也用于防止恶意灌水、广告帖等。在登陆的地方访问一个脚本文件,该文件生成含验证码的图片并将值写入到session里,提交的时候验证登陆的脚本就会判断提交的验证码是否与session里的一致。目前常常会出现验证码失效或者被绕过的可能,也成转载 2020-08-02 20:39:26 · 539 阅读 · 0 评论