DVWA12_Weak Session IDs

漏洞描述

漏洞危害

漏洞防御

LOW

Medium

High

漏洞描述

用户访问服务器的时候,服务端会分配一个身份证 session id 给用户,用于标识,前端存储到cookie中,登录时携带可识别身份。Weak Session IDs容易猜解,攻击者无需用户账户口令使用猜解方式构造session id进行攻击

漏洞危害

无需账户口令,携带即可通过验证

漏洞防御

session id生成不应弱化,建议增加随机数、时间戳、固定字符串再进行强加密处理,做到无法猜解

LOW

代码分析

简单的++,太过简单

 

Medium

代码分析

#$cookie_value = time()时典型的间戳弱验证,易猜解

 

High

代码分析

后端代码分析和在low级基础上使用了md5加密方式,没啥用,加密方式未加盐,非强加密易反解,和low区别不大

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值