7类 登录/注册 安全漏洞

最新推荐文章于 2024-07-12 18:28:41 发布
最新推荐文章于 2024-07-12 18:28:41 发布
阅读量8.9k 收藏 6
点赞数
分类专栏: 安全测试 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44203158/article/details/107210564
版权

一、验证方式可绕过

常见的验证方式有:验证码(字符或数值计算),滑动验证(滑块或特定路径),点击验证(按照要求点击字符或图案)等。
在这里插入图片描述
再次发送该请求,查看响应结果
在这里插入图片描述
结果如上图,说明验证码无效,可以重复利用该请求恶意批量注册(类似短信轰炸)

修复建议:
1、增强验证码机制,为防止验证码被破解,可以适当增加验证码生成的强度,例如中文图形验证码。

2、限制一定时间内IP登录失败次数。

二、账号可枚举

漏洞描述:

接口对于不同的账号、密码返回的数据不一样,攻击者可以通过回显差异进行用户名的枚举,拿到账户名之后,再进行密码的爆破

在这里插入图片描述

修复建议
1、用户名或密码输入错误均提示“用户名或密码错误”,防止黑客获取到注册用户信息。

2、限制用户登录失败次数。

3、限制一定时间内IP登录失败次数

三、密码未加密

四、手机验证码可爆破

漏洞描述

对验证码输入错误次数没有做任何限制+验证码的时效性高于爆破时间

修复建议:
 1.点击获取手机验证码后产生即时更新强图形验证码

 2.限制输入错误次数

 3.缩短验证码的有效期

五、短信轰炸

漏洞描述
修复建议:
1.后端对同一手机号在某段时间只能发送一条短信,并且设置发送次数的上限

六、覆盖注册

七、任意用户密码重置

使用session对当前用户的权限做校验

阿尔卑斯下的泰戈尔
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
逻辑漏洞渗透与攻防(四)之任意账号注册
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-05 956
未验证邮箱/手机号,目前很多应用为了方便用户记录自己的用户名与密码,都可以使用邮箱跟手机号作为登录用户名,因此很多应用在注册的时候就要求用户填写,一般情况下该应用都会发送激活信息,用户在收到激活信息后才能登录。然而有时候开发人员并不去审核 邮箱/手机号是否有效,所以可以利用该缺陷,任意注册账号。
Python安全编程:避免常见安全漏洞及防范措施
禅与计算机程序设计艺术
08-11 312
2021年,随着AI领域的火爆、互联网平台的壮大、传统行业的转型升级,企业应用机器学习技术解决了很多问题。然而,在实际生产环境中,仍然存在一些安全风险需要注意,如数据泄露、网络攻击、程序漏洞等。本文将以实际案例出发,深入分析并总结目前已知的“Python安全编程”相关的常见安全漏洞及防范措施,为Python开发者提供一个可行的安全防护策略。静态代码检查工具的使用Python代码安全之依赖包管理文件上传漏洞SQL注入攻击CSRF跨站请求伪造密码散列函数的选择Flask安全配置。
成佩涛-兼职兔用户注册漏洞
10-06 1097
步骤一:打开兼职兔注册页面如下所示:
登录页面可能产生哪些漏洞
2201_75341517的博客
06-06 423
面试这个经常会被问到,给你一个登录页面,你觉得可能存在哪些漏洞
短信注册漏洞平台
11-14 198
今天我的手机不停的收到这些平台的注册短信,请这些平台的技术人员限制一下短信的注册次数! 汽车大全 廊坊企业云 易到用车 口袋理财 飞凡 百度 钱包易贷 泸江 转载于:https://www.cnblogs.com/Logan626/p/9957080.html...
发现新浪一注册漏洞
编程视觉
06-06 603
目前偶尔靠运气能出有验证码的wangy
dedecms会员注册注入漏洞
weixin_33912453的博客
03-30 362
一、首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,(判断是否是dede的cms 以及看看是否和这个漏洞相对应)二、然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面 看是否可注入三、爆用户:/member/ajax_membergroup.php?action=post&memb...
业务逻辑漏洞--注册-登录-改密码页面总结
gou1791241251的博客
01-27 2043
SRC漏洞挖掘过程中遇到登录时,总是感觉自己测试不完全,东一榔头西一棒子,想起什么来测什么。 感觉这样不太行,显得不专业,于是乎总结一下,在以后的测试过程中可以作为笔记提示。 以下按照顺序测试: 注册页面 注册页面批量注册 注册覆盖(重复注册他人账号) 短信邮件炸弹 手机验证码是否可爆破(老生常谈,Burpsuite抓包爆破四位验证码) 图片验证码是否可绕过(验证码缺失、验证码失效数据包重放、万能验证码0000、验证码空绕过、验证码前端获取(极少数情况)) 登录页面 弱密码、无验证码爆破、万能密码(后台登
登录注册页面
08-06
7. **测试与调试**:在部署之前,需要对登录注册页面进行全面的测试,包括单元测试、集成测试和用户体验测试,确保所有功能正常工作且没有漏洞。 总的来说,这个简洁的登录注册界面项目涵盖了前端开发的多个方面,...
第三方登录、任意用户登录、暴露账号隐私风险等漏洞总结
最新发布
墨痕诉清风的博客
07-12 158
以两步登录为例,登录输入账号密码/手机号验证码/其他的凭证信息后第一个请求校验其正确性后,第二个请求根据后端返回的账号/手机号/用户id等字段去获取用户凭证的登录逻辑。系统使用jwt作为认证字段,且其中关键用户信息字段可以遍历时,若未验参或者使用弱密钥时,便可以将用户信息字段进行更改,删除/爆破弱密钥重新生成签名,到达任意用户登录。​ 一般正常的登录流程为服务端校验完用户身份后,返回用户凭证,但某些系统由于登录前会有很多的查询用户信息的功能请求,经常导致在登录验证前就返回了用户凭证。
【愚公系列】2024年03月 《CTF实战:从入门到提升》 011-Web安全入门(PHP反序列化漏洞
热门推荐
时光隧道
03-30 5万+
PHP是一种广泛使用的开源服务器端脚本语言,它支持面向对象的编程范式。在PHP中,和对象是用于封装数据与功能的核心组件,它们使得代码更加模块化、易于管理和扩展。在处理对象持久化——即在不同会话或不同请求之间保存对象状态的过程中,序列化和反序列化是两个非常重要的概念。反序列化漏洞通常发生在不安全地反序列化用户提供的数据时。代码执行:攻击者可能会注入恶意对象,当这个对象被反序列化时,它可能会触发任意代码执行。对象注入:通过构造特殊的序列化数据,攻击者可能会在应用程序上下文中创建不正当的对象实例。
TWO DAY | WEB安全之OWASP TOP10漏洞
EverUP
05-15 5878
OWASP:开放式Web应用程序安全项目(Open Web Application SecurityProject),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web应用程序安全风险列表”
常见安全漏洞说明
鹤啸九天
08-29 831
一、HTTPS漏洞: HTTPS的安全基础是SSL协议,但并不是说只要是HTTPS就是安全的。SSLv3有多个漏洞,如果HTTPS中启用SSLv3,会导致使用HTTPS的应用存在安全风险。目前SSLv3的相关漏洞没有对应的漏洞补丁,因此建议HTTPS禁用SSLv3版本; 二、重定向到任意URL: 对于要重定向到的目标网址如果不做任何检查就进行重定向的话,有可能被黑...
逻辑漏洞----任意账号注册
qq_44418229的博客
07-26 7623
逻辑漏洞--未验证,批量注册,个人信息伪造,前端绕过,用户名覆盖
网络安全-认证授权和安全漏洞
口木西成
02-16 1388
1. XSS跨站脚本攻击 答:XSS(Cross-Site Scripting)跨站脚本攻击,通过在用户提交数据中加入恶意代码,从而破坏页面结构,盗取用户资料等。XSS利用用户对网站的信任。 1.1 产生原因 答:过分信任客户端数据,没有对数据进行过滤和转移。 1.2 分 答:分为: 存储型:恶意代码放在数据库中,每次Server响应Client请求时返回并执行; 反射型:恶意代码加在URL中...
任意修改密码或注册漏洞以及0元支付漏洞
weixin_44940180的博客
08-13 469
任意修改密码漏洞(垂直越权) 以admin1(普通用户)的身份登录,修改密码抓包 然后将userid换为admin,将其密码修改为cly,然后使用admin/cly登录成功 因为没有验证cookie,只验证了useid 成功以admin登录 进入到管理用户页面 任意账号注册 投票系统注册很多账号进行投票 注册时无验证码,或验证码可绕过 注册时抓包 根据返回包的不同,判断注册时是使用用户名和邮箱进行验证的 使用爆破模块,设置参数字典(用户名和邮箱) 修复建议:使用验证码/token 或者将
逻辑漏洞挖掘——任意账号密码(用户名/前端验证/激活验证/批量注册)
m0_61506558的博客
08-15 909
1、未验证邮箱/手机号未验证邮箱/手机号,目前很多应用为了方便用户记录自己的用户名与密码,都可以使用邮箱跟手机号作为登录用户名,因此很多应用在注册的时候就要求用户填写,一般情况下该应用都会发送激活信息,用户在收到激活信息后才能登录然而有时候开发人员并不去审核邮箱/手机号是否有效,所以可以利用该缺陷,任意注册账号。填写邮箱后,并没有在邮箱发现任何激活信息,且直接把邮箱当作用户登录名使用。.........
OpenAI 曝新漏洞,一个手机号可以批量注册账号!
IT界那些事儿
05-08 2378
注册过ChatGPT API的朋友知道,新注册的用户,OpenAI免费赠送了5美元的使用额度。一个账号5美元,100个账号可就是500美元啊,可以用很久了!于是,有人就打起了坏主意,能不能找到OpenAI的bug,然后可以批量注册账号,薅OpenAI的羊毛呢!最近看到一篇国外的文章,有安全团队发现了OpenAI的一个漏洞,基于这个漏洞,攻击者可以无限白嫖ChatGPT的免费额度,只要一个手机号就能注册很多账号。
浅析一次任意用户注册漏洞挖掘过程
李熠专用博客_白帽子一枚,人称低危终结者
10-09 2688
漏洞发现 输入手机号,点击发送验证码,发现验证码只有4位数字,我的经验告诉我,此处有一定概率存在任意用户注册漏洞漏洞利用 输入手机号,点击发送验证码,再依次输入验证码(此处随便输入,方便抓包)和密码,用BurpSuit抓包,并尝试验证码爆破。 最终成功注册漏洞修复 1.验证码设置为6位数。 2.对验证码校验做限制,如输错5次则要求输入图片验证码。 3.对同一个手机号,只允许有限次的错误校验。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿尔卑斯下的泰戈尔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值