Web渗透测试之双因素认证绕过

最新推荐文章于 2023-11-23 10:30:00 发布
最新推荐文章于 2023-11-23 10:30:00 发布
阅读量490 收藏 3
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44588899/article/details/129259894
版权

1.Response 响应操纵

1) 输入正确的一次性密码
2) 抓取response包
3) 输入错误的一次性密码
4) 抓取 response包 并修改成正确response包

2.状态码操作

如果状态码是 4xx
尝试改成 200 OK 然后查看是否生效

3.直接绕过

1)尝试直接访问下一个端点(需要知道下一个端点的路径)。
2)如果这不起作用,尝试更改Referrer header,更改为和双因素认证页面一样。

4.Referrer 检查绕过

尝试直接访问双因素认证页面或应用程序的任何其他身份验证页面之后出现的页面。如果没有成功,请将refer header更改为2FA页面URL。

5.开发者检查

1)右键单击提交按钮(继续或等...)
2)检查元素
3)功能诸如“ checkotp(事件)”之类的功能
4)在控制台中输入功能

6.X-Forwarded-For

添加 X-Forwarded-For: 127.0.0.1 在 request
如果不行试试这些 :
X-Originating-IP
X-Forwarded-Fo
X-Remote-IP
X-Remote-Addr
X-Client-IP
X-Host
X-Forwared-Host

最低0.47元/天 解锁文章
Ca1m丶
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
五种不寻常的身份验证绕过技术
2301_77157449的博客
04-06 615
复杂的身份验证机制可能成为攻击者使用的最具隐蔽性的攻击手段,特别是在容易出现业务逻辑漏洞的应用程序上。因为自动扫描器大多无法进入这类漏洞,所以仍然需要手工来找到它们。鉴于现代软件环境的复杂性,没有任何一个安全研究人员能够发现所有可能的漏洞或攻击载体。
模拟器App抓包 - 证书双向验证绕过手段
最新发布
qq_46081990的博客
03-26 1362
总的来说推荐使用方案一,可以在 BurpSuite 方便查看,但是有时会绕不过。方案二基本上是通杀,但是只能 WireShark 查看,个人不是很习惯。方案三也是一种思路,成功与否主要在于 Apk 能否反编译拿到密钥。
4.4.4-测试绕过身份验证架构
qq_44232452的博客
10-18 57
在计算机安全中,身份验证是尝试验证通信发送者的数字身份的过程。此类过程的一个常见示例是登录过程。测试身份验证架构意味着了解身份验证过程的工作原理,并使用该信息来规避身份验证机制。虽然大多数应用程序都需要身份验证才能访问私人信息或执行任务,但并非每种身份验证方法都能够提供足够的安全性。疏忽、无知或对安全威胁的简单轻描淡写通常会导致身份验证方案,只需跳过登录页面并直接调用应该仅在执行身份验证后才能访问的内部页面,从而绕过这些方案。
渗透测试-暴力破解之验证码客户端验证绕过
lza20001103的博客
05-01 5234
暴力破解之验证码客户端验证绕过
常见web安全漏洞_web漏洞
wangluoanquan111的博客
11-23 898
​ “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。
web渗透测试
06-09
Web渗透测试教程,该课程侧重于讲解Web安全,并通过实验详细分析常见的十种Web漏洞、漏洞利用过程等。
Web安全服务渗透测试模板.docx
10-30
Web安全服务渗透测试模板是一个实用的渗透测试报告模板,旨在帮助企业和个人对Web应用程序和系统进行渗透测试,以检测和评估其安全性。该模板提供了一个结构化的框架,指导测试人员按照标准的步骤进行测试,确保测试...
WEB安全】渗透测试介绍
01-27
渗透测试(PenetrationTesting)是受信任的第三方通过模拟黑客可能使用到的攻击手段和漏洞挖掘技术对目标网络或目标系统的安全性作出风险评估和脆弱性分析并给出安全加固建议的一个测试过程。 渗透测试是站在第三者...
Web渗透测试用例.xlsx
01-05
包含渗透测试需要哪些项目,以及具体的测试步骤和方法。就算是小白,都能按照以上步骤做应用安全测试,包括测试网站,APP,小程序,公众号等,呕心沥血内部资料
web渗透测试基线模版
12-22
web渗透测试基线模版
安卓APP渗透—HTTPS证书校验绕过
hackzkaq的博客
10-28 4494
前言: Android渗透过程中,会经常遇见https证书校验,不能抓取数据包。 就比如我手机无法Root,每次都要用到模拟器,但是有些App它会检查是否在模拟器中运行,从而闪退无法正常使用。于是,这篇文章诞生了。 基础学习: APP是HTTPS的服务提供方自己开发的客户端,开发者可以先将自己服务器的证书打包内置到自己的APP中,或者将证书签名内置到APP中,当客户端在请求服务器建立连接期间收到服务器证书后,先使用内置的证书信息校验一下服务器证书是否合法, 如果不合法,直接断开. 当APP是HTTPS时,单
为您的Web应用程序启用两因素身份验证
最佳 Java 编程
06-07 601
支持两因素身份验证(2FA)几乎总是一个好主意,尤其是对于后台系统。 2FA有许多不同的形式,其中一些包括SMS,TOTP甚至是硬件令牌 。 启用它们需要类似的流程: 用户转到其个人资料页面(如果要在注册时强制使用2fa,请跳过此页面) 单击“启用两因素身份验证” 输入一些数据以启用特定的2FA方法(电话号码,TOTP验证码等) 下次他们登录时,除了用户名和密码外,登录...
如何在开放无线网络中嗅探校园网密码
weixin_30763397的博客
03-29 1128
校园网的认证方式 *本文提及的方法仅供安全学习用途,禁止非法利用 我们学校的无线校园网的认证方式不是wpa/wpa2,不是802.1x,只是单纯的web认证,在网页里输入学号和密码,post出去,你的这个mac地址就可以上网了。但是尽管需要认证,安全性还是等于零,数据还是没有加密的,我试着写了一个在无线校园网中嗅探校园网账号密码的小程序。 使用了scapy和requests包。 需要先知道...
[车联网安全自学篇] Android安全之绕过直连、HOST校验、系统证书校验、代理检测、双向认证抓HTTPS数据
橙留香Park的博客
05-13 1337
如果是你客户端,你需要拿到服务器的证书,并放到你的信任库中如果是服务端,你要生成私钥和证书,并将这两个放到你的密钥库中,并且将证书发给所有客户端。如果你是客户端,你要生成客户端的私钥和证书,将它们放到密钥库中,并将证书发给服务端,同时,在信任库中导入服务端的证书如果你是服务端,除了在密钥库中保存服务器的私钥和证书,还要在信任库中导入客户端的证书。...
web渗透--13--登录认证安全测试
武天旭的博客
09-12 9171
1、密码明文传输 1、漏洞描述 密码明文传输一般存在于web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取 2、检测条件 确定一个或多个常用应用程序包含的可访问的管理界面。 3、检测方法 1、找到网站或者web系统登录页面或者敏感数据提交页面。 2、通过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder等等,分析其数据包中相关p...
98.网络安全渗透测试—[常规漏洞挖掘与利用篇14]—[SESSION身份验证绕过漏洞与测试]
qwsn
02-05 6255
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、session身份验证绕过漏洞与测试 1、session机制 2、session的生命周期 3、出现漏洞的情景 4、session身份验证绕过示例: (1)源码:`session.php` (2)绕过:`抓包改包` (3)总结:
因素认证绕过的钓鱼工具
06-20 251
研究人员发布了两个工具——Muraen和NecroBrowser。它们可以自动绕过2FA进行钓鱼攻击,大多数防御措施都无法抵御它们。 渗透测试人员和攻击者为他们的武器库添加了一个新的工具,这种工具可以绕过因素身份验证(2FA) 自动化钓鱼攻击,...
绕过校园网WEB认证_dns2tcp实现
weixin_30817749的博客
11-08 5993
相信很多高校学生都有用WEB认证方式接入校园网的经历   拿我所在的大学为例,我们大学的校园网由联通公司承建,当我连上寝室的无线路由器后,浏览器会自动弹出一个由卓智公司开发的认证界面,如下图:    如果买了联通公司的流量,会取得一个账号和密码,输入账号密码登陆后就能享用无线了,当然啦,对于爱折腾的人来说,总要想点方法绕过这个认证,不为别的,只为实现内心的一个想法。所以我就在各大技术论坛查...
django项目实战之nweb渗透测试工具
11-02
nweb渗透测试工具是一个基于Django框架开发的网络安全测试工具。该工具旨在帮助用户评估其网络应用程序的安全性,并识别潜在的漏洞和风险。 nweb渗透测试工具具有以下特点和功能: 1. 支持多种不同类型的渗透测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值