后台业务安全(一)
学习业务安全的准备工作:
- 掌握一套成熟的业务安全测试的方式方法,消化吸收前人总结的宝贵经验,开拓自己的安全事业。
- 了解目标平台的业务流程。
测试技巧:
- 科学的测试方法
- 学会使用思维导图等工具
####1、登录认证模块测试
#####1.1暴力破解测试
方法:根据需求,加载用户字典或密码字典进行穷举测试
步骤:
1、对浏览器进行HTTP代理配置,将浏览器访问请求指向Burp Suite工具默认的监听端口
2、使用burp Suite工具获取浏览器登录请求,并将登录请求数据发送至instruder选项中。此步骤具体的操作为:人工在登录界面点击登录,会被Burp suite工具拦截,我们可以查看接口的详细信息。
3、使用burp suite工具中的instruder模块进行破解参数配置,运行破解任务并成功破解系统账号口令。
修复建议:
1、增加验证码,登录失败一次,验证码更换一次
2、配置登录失败次数限制,如在同一用户尝试登陆的情况下,五分钟内如果连续登陆失败超过六次,