常见的登录逻辑漏洞总结

前言

1.采用弱密码或者无密码进行登录（弱口令）

比如：

管理员账号：admin

密码：admin/123456/010203

测试账号：111

密码：111

万能账号：admin' or '1'='1（登录的sql注入）

 【----帮助网安学习，以下所有学习资料文末免费领！----】

修复建议：

1. 前端提醒用户提高密码复杂度

2. 后端检查数据库中测试环境余留下的账号

3. 前端对密码做加密（加密流程代码最好隐藏）

2.密码可爆破

可以通过密码字典，不断请求，爆破出密码

修复建议：

1. 后端限制一个账号请求次数，次数过多锁定账号

2. 前端输入验证码（类似谷歌的复杂验证码最好，否则可用pkav进行识别爆破，且验证码不可复用，前端验证，容易导致复用）

3.验证码可爆破

可以通过从0000遍历到9999来破解验证码

修复建议：

1. 加长验证码长度（加长攻击者爆破时间）

2. 限制尝试次数（采用后端验证）

3. 限制验证码的有效时间（1分钟内有效）

4.短信轰炸

未对发送验证码进行时间限制，导致可进行反复抓包重发验证码请求

修复建议：

前端，后端定时限制

5.手机验证码凭证可查看

1. 当对一个手机号发送验证码之后，后端会给一个包含验证码的返回包

2. 前端hide属性标签的隐藏有验证码，可通过F12查看

修复建议：

1. 后端不返回验证码

2. 前端控制台不显示验证码

6.万能验证码

1）验证码可复用

攻击使用以前使用过的验证码来通过验证

2）测试方便遗留下的万能验证码0000/1111/6666

修复建议：

1. 后端判断验证码是否被使用并且销毁

2. 去掉测试时遗留下的验证码

7.前端验证登录结果

点击登录之后，由后端返回以下登录结果，如果是前端验证，直接改为：{“result”:true}即可成功登录

如：{“result”:false}

修复建议：

使用后端验证

8.任意用户密码找回/重置

1. 找回或重置时，发送验证码的手机号，未做绑定，导致可以抓包，修改发送验证码的手机号（比如自己的手机号）并且成功获取验证码

2. 可以通过修改密码找回或重置的步骤参数，直接到最后一步，直接进行修改或者重置

如：url/?step=1 抓包修改为 step=3 直接跳到最后一步

修复建议：

1. 后端对所绑定手机号做验证

2. 前后端完善步骤的判断（如判断是否有正确的执行前面几步的操作）

9.未授权访问他人账号

1. 可直接修改用户id，平行越权访问其他用户账号

2. 请求中的令牌 加密性弱 只使用了简单的url或者base64 只破解其他账号的令牌，通过抓包修改已知账号的令牌换上他人的令牌，即可访问他人的账号

修复建议：

1. 后端完善会话绑定

2. 前后端加强令牌、cookie的加密强度

10.用户批量注册

可通过抓包，不断发送用户注册请求，导致服务器资源浪费，甚至遍历出他人的账号，以进行进一步的攻击

修复建议：

1. 前后端对注册时间限制

2. 后端对ip进行注册次数限制

11.注册导致存储型xss

注册时，未对用户输入信息进行验证，导致攻击者输入一些xss恶意脚本

修复建议：

1. 前端加强用户注册时输入内容的判断

2. 控制输入的字符，比如只能使用 . ！等安全的字符（白名单机制）一定禁用< >等字符

12.URL跳转（重定向）漏洞

如果url中有形如以下链接，导致攻击者可向被攻击者发送这样一个网址，如果攻击者点击之后，攻击者将能够盗取被攻击者的信息，恶意软件的安装

http://example.com/?url=http://bedurl.com

修复建议：

1. 不使用重定向

2. 使用相对url，取代完整的url

3. 白名单限制url的来源

13.CSRF漏洞

攻击者盗取了用户的cookie等信息之后即可直接登录用户账号

 【----帮助网安学习，以下所有学习资料文末免费领！----】

修复建议：

1. 使用session 会话（令牌）

2. 使用HTTPOnly 防止cookie被盗用

14.登录成功凭证可复用

当使用一个账号登录成功之后，抓取登录成功的请求凭证，再使用其他账号登录，并在登录过程中，利用之前登录成功的凭证，欺骗后端，导致登录成功

修复建议：

1. 加强session会话的绑定

2. 销毁登录成功的凭证防止复用

总结：“个人认为” 其实很多的逻辑漏洞都是前端验证，以及后端逻辑验证不正确，未对请求次数做限制，写代码偷懒了导致的，开发人员多站在攻击者的角度考虑，漏洞会少很多吧。

   如何入门学习网络安全

 【----帮助网安学习，以下所有学习资料文末免费领！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

​

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

 第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

​

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

 CTF比赛视频+题库+答案汇总

 

 实战训练营 

面试刷题 

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

点击免费领取：CSDN大礼包 | 《黑客&网络安全入门&进阶学习资源包》免费分享朋友们如果有需要全套《黑客\x26amp;网络安全入门\x26amp;进阶学习资源包》，可以扫描下方二维码免费领取（如遇扫码问题，可以在https://mp.weixin.qq.com/s/5qdaWr85T3HDAxC7Xi15lA
 

这份完整版的网安学习资料已经上传，朋友们如果需要可以微信扫描下方二维码或者点击链接免费领取【保证100%免费】↓↓↓

​