验证机制问题

于 2020-12-24 19:50:26 发布
阅读量281 收藏
点赞数 1
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zqzqzqzqwuwuwu/article/details/111603017
版权

验证机制问题

验证机制问题

一.暴力破解

  1. 暴力破解(brute force),也可以称为蛮力攻击,指利用穷举法将所有的可能性一一尝试,理论上可以破解所有密码问题。
    实际测试中,考虑到攻击成本的问题,通常使用字典攻击,即逐一尝试用户自定义词典中的可能密码(单词或短语)的攻击方式。
  2. 弱口令攻击
    ①弱口令是指容易被他人猜到的口令,除常见的123456、12345678、admin等口令外,生日、姓名、手机号、1qazqwas也被称为弱口令。
    ②为了节省攻击成本,通常也会使用弱口令字典进行攻击。
  3. 可利用信息
    ①多余的提示信息。登陆失败后,不应提示如“该用户不存在”、“密码错误”、“用户未注册”等详细信息,通过这些信息可以推断出用户名、密码等其他信息;
    ②可预测信息。类似user100、user101的用户名、手机号等信息,类似于ABC123、123456的初始密码。
  4. 字典生成
    ①crunch 以一定规则生成字典
    crunch 11 11 -t 1829881 %%%%%(%代表数字)
    crunch 6 6 -t pass@@ (小写字母)
    crunch 6 6 -t pass,(大写字母)
    crunch 6 6 -t pass^^(特殊字符)
    ②cupp 社会工程学字典生成
    ③cewl 爬取网站内容,生成字典
    ④亦思想社会工程学字典生成器
  5. 符合国人习惯的字典
    ①常见弱口令:123456、password、123qweasd等;
    ②姓名(或其他信息)全拼及缩写:xiaoming123等;
    ③全部以及部分手机号码;
    ④出生日期及各种变形;
  6. 无效的登陆失败处理功能
    (1)图片验证码绕过:验证码不生效/不更新/不失效;验证码可预测/删除/获取;验证码可识别/寻找其他登陆页面。
    (2)短信验证码绕过:4/6位暴力破解;篡改手机号;篡改response响应。

二.密码重置

  1. 常见的密码问题:
    ①用户名枚举:网站反馈多余信息,可猜测用户信息;
    ②验证码返回前端处理:可截获/修改;
    ③修改request:用户名、手机号、cookie等信息可修改;
    ④修改response:操作结果成功/失败可修改;
    ⑤暴力破解验证码:验证码长度有限,或验证码未设置可靠的失效时间;
    ⑥拼凑密码重置连接:重置连接有规律可循。
  2. 不安全的忘记密码功能
    ①重置密码方式不应明文显示/传输给用户;
    ②重置密码方式应该设置有效期;
    ③重置密码方式应具有高强度、不易被攻击猜解;
    ④重置密码方式应具有足够的随机性,不易被暴力破解。
Dikeo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
验证典型问题
m0_37573557的博客
11-18 627
问题一:数字IC验证流程是什么? 1、阅读设计Specification 清楚需要验证的东西 2、编写验证工作的指导性文件 – 验证计划 提取验证功能点,明确接口文件,明确DUT接口信号,TB的结构,检查点,功能覆盖率,测试用例规划,验证工作结束的标准。 ...
asp.net4.0框架下验证机制失效的原因及处理办法
10-27
通过设置httpRuntime元素的requestValidationMode属性为"2.0",可以将请求验证机制回退到旧版本的行为上,即只在.aspx页面请求时进行验证,从而解决兼容性问题。这样,开发者就能正常使用那些需要用户输入HTML代码的...
验证问题
weixin_30632883的博客
09-22 227
有时候需要对用户输入的信息进行验证是否符合要求,再次做了一下总结:验证整数:<asp:textbox id="txtNF" Runat="server"></asp:textbox><asp:regularexpressionvalidator id="Regularexpressionvalidator1" Runat="server" ValidationExp...
web安全学习-验证机制存在的问题
weixin_30954265的博客
07-31 250
验证机制是应用程序防御恶意攻击的中心机制。它处于防御未授权的最前沿,如果用户能够突破那些防御,他们通常能够控制应用程序的全部功能,自由访问其中的数据。缺乏安全稳定的验证机制,其他核心安全机制(如回话管理和访问控制)都无法有效实施。 web应用程序常用的验证机制有: 1) 基于HTML表单的验证(最常用) 2) 多元机制,如组合型密码和物理令牌 3) 客户端SSL证书或智能卡(成本非常...
登录验证问题
博客标题:
01-14 430
Protected Sub Page_Load(sender As Object, e As EventArgs) If Request.Cookies("username") Is Nothing Or Request.Cookies("userpass") Is Nothing Or Request.Cookies("username").Value = "" Or Req...
常见验证问题js
oboaix的专栏
11-15 151
[color=darkblue] [b 表单验证类 Validator v1.05 body,td{font:normal 12px Verdana;color:#333333} input,textarea,select,td{font:normal 12px Verdana;color:#333333;border:1px solid #999999;background...
一种针对可信计算平台的分布式可信验证机制.pdf
08-10
针对这个问题,论文提出了一种分布式可信验证机制(DTVMTC,Distributed Trusted Verification Mechanism for Trusted Computing Platform)。DTVMTC的目标是解决自由软件的可信验证问题,即在没有官方可信源的情况...
了解验证机制.docx
09-06
了解验证机制
web-渗透测试方法测试验证机制
最新发布
11-11
1、确定应用程序使用的验证技术(如表单、证书或多元机制) 2、确定所有与验证有关的功能(如登录、注册、账户恢复等) 3、如果应用程序并未采用自动自我注册机制,确定是否可以使用任何其他方法获得几个用户账户
asp.net 身份验证机制实例代码
10-28
***的身份验证机制是实现安全Web应用程序的基础。它规定了访问受保护资源的用户必须经过身份验证,且身份验证过程必须满足应用程序定义的安全策略。在***中,主要提供三种认证方式:Windows身份验证、Forms身份验证...
验证问题的解决方法
weixin_30950887的博客
10-28 466
这段时间一直在忙江苏省热电的一个项目,在将项目安装到客户机器上时,遇到这样一个奇怪的问题,在我机器上能验证的控件,在客户机器上都失效了,以至于用户录入的格式不正确时,会弹出错误页面。第一次遇到这样的问题,很着急又不知道怎么办,要做的就是如何尽快地解决存在的问题,问了很多做.net的好友,都say I don't Know,于是又问,终于从一个朋友那里得出其解决方法: 他当时...
逆向project第003篇:跨越CM4验证机制的鸿沟(上)
weixin_33807284的博客
06-22 123
一、前言         《冠军足球经理》系列作为一款拟真度极高的足球经营类游戏。赢得过无数赞誉,而CM4可以说是这个传奇的起点。可是在游戏安装过程中。当用户输入完序列号之后。程序并不会对用户的输入进行真伪推断,仅仅有等到安装完成。进入游戏之后,通过游戏是否正常显示才可以得知。而假设遇到用户不小心输入错误的情况,那么仅仅能卸载游戏又一次安装。这就会造成非常大的麻烦。         为...
实例解说常见验证码的弱点与验证码识别
billhu专栏
01-11 1473
一、简介 验证码作为一种辅助安全手段在Web安全中有着特殊的地位,验证码安全和web应用中的众多漏洞相比似乎微不足道,但是千里之堤毁于蚁穴,有些时候如果能绕过验证码,则可以把手动变为自动,对于Web安全检测有很大的帮助。 全自动区分计算机和人类的图灵测试(英语:Completely Automated Public Turing test to tell Computers and H
常见登录验证机制
weixin_30814223的博客
05-17 430
HTTP Basic Auth HTTP Basic Auth 简单点说明就是每次请求 API 时都提供用户的 username 和 password,简言之,Basic Auth 是最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,尽量避免采用 HTTP Basic Auth。 OAuth OAuth(开放授权)是一个开放...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值