Web安全——登录框渗透测试思路
点赞后看,养成习惯
喜欢的话 可以点个关注哟
你们的点赞支持对博主们来说很重要哦 !!!
为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓
- 0x00 弱口令漏洞
- 0x01 短信定向转发
- 0x02 短信炸弹
- 0x03 普通验证码绕过
- 0x04 手机号验证码登录漏洞
- 0x05 恶意锁定问题
0x00 弱口令漏洞
1、漏洞描述
目标网站登录口使用了弱口令或者系统默认账号。
2、渗透测试
2.1、如果登录页面不存在验证码校验,则我们可以直接使用国人Top100等弱口令字典搭配BurpSuite进行字典爆破。
2.2、如果登录页面存在验证码校验,则我们可以尝试看看验证码是否更新、存在绕过、以及看验证码是否容易识别等。
3、安全建议
3.1、 强制规定具有较高复杂度的默认口令,并且强制新用户注册后需要修改默认密码,修改要求如:大小写字母与数字或特殊字符的组合,口令长度不小于8位等。
3.2、定期检查和更换网站管理口令。
0x01 短信定向转发
1、漏洞描述
目标网站未做限制,短信接收人可任意我们指定。
2、渗透测试
我们可以使用BurpSuite拦截到网站请求发送短信的HTTP/Https数据包,而后 将手机号修改为咱们测试人员的手机号,测试看看我们的手机是否可接收到他人的短信验证码。
3、安全建议
3.1、发送短信时的手机号应当避免从前端传入, 要设置要从当前会话中获取。
3.2、用户的手机号不允许被随意变动,需要加入认证过程。
0x02 短信炸弹
1、漏洞描述
攻击者通过点击网站页面中的发送短信验证码按钮,利用BurpSuite对其发送数据包的拦截后,Action到Repeat模块进行重放。 如果服务器短信平台未做校验,则系统会一直发送短信,这样就造成了短信轰炸的漏洞。
2、渗透测试
2.1、手工找到有关网站注册页面,认证页面,查看是否具有短信发送功能。如果有,则进入下一步。
2.2、通过利用BurpSuite或者其它抓包截断工具,抓取发送验证码的数据包,并且进行 重放攻击,查看手机是否会在在短时间内连续收到10条以上短信。如果手机确实收到大量短信,则说明存在该漏洞。
3、安全建议
3.1、合理配置后台短信服务器的功能, 对短信发送次数做验证。比如对于同一手机号码,同一验证发送次数不得超过5-10次,且对发送时间间隔做限制
3.2、当发送超过一定次数后,加入验证码验证。或者直接一开始就加入验证码验证。
0x03 普通验证码绕过
1、漏洞描述
由于存在验证码,攻击者通常会放弃暴力破解。不过在验证码这点上,或许会存在验证码未更新、验证码本地JS校验绕过等问题。
2、渗透测试
2.1 验证码未更新
在登录页面输入账号、密码、验证码后,点击登录,页面返回账户密码错误的提示。这时开启BurpSuite抓包代理,重复上述步骤,拦截到数据包后Action将数据包发送到Repeat模块。再对密码进行修改,查看返回的结果。 如果返回的结果也是账户密码错误,则就说明目前的验证码没有进行更新。因而我们就可以在原有验证码的基础上修改密码。
在这个时候,如果我们改一下验证码再提交,页面这时返回信息是验证码错误。则进一步说明服务器先判断验证码是否正确,再判断用户名和密码是否正确。
2.2 本地验证之JS绕过
如果抓包之后Action进入Repeat模块,对密码进行修改。查看回包的结果,如果返回的结果是验证码错误的话,那说明对验证码是进行更新的。我们需要那看看有没有其他渗透思路。
比如我们查看回包的时候,发现回包中存在着一段JS校验代码,用来检验验证码的正确性。则我们就可以直接修改返回包, 将js代码删除。放行返回包后,查看页面是否登录成功。
3、安全建议
3.1 尽可能不使用前端校验,避免被浏览器用户修改或删除。
3.2 可以使用滑动验证或点击验证的方式来取代数字图片验证。
0x04 手机号验证码登录漏洞
1、漏洞描述
手机APP或者一些小型的网站,可能会对手机验证码不太注意。或许存在短信验证码爆破、验证码回传等漏洞。
2、渗透测试
2.1 验证码返回
点击发送短信验证码,用BurpSuite抓包。查看返回包内容,如果发现返回包里直接有短信验证码。这就是服务端直接把短信验证码发送回本地,在本地进行校验。
2.2 验证码爆破
如果不存在短信验证码回传, 我们先用自己手机进行测试,看看是验证码几位数的。如果是4位验证码,而且服务器端没有进行次数限制的话 我们那么很容易就进行爆破了。
3、安全建议
3.1、提高安全意识,避免出现验证码回传这种低级错误。
3.1、对短信验证码发送次数做验证,对同一个手机号码,短时间内发送验证码的次数受限。 不允许无限次尝试。
0x05 恶意锁定问题
1、漏洞描述
通过不断的输入错误的密码可恶意锁定任意账号。
2、渗透测试
针对测试账户,不断输入错误的密码,直至将其锁定。
3、安全建议
3.1、账户锁定之后应不能继续使用认证功能,如对请求IP进行一个限制,一段时间之后才可以继续尝试认证
3.1、认证功能防自动化操作,如添加图形验证码。
以上文章,作为自己的学习笔记,仅供参考
本文完,感谢你的阅读!!!
最后,如果本文对你有所帮助,希望可以点个赞支持一下。你们的鼓励将会是博主原创的动力。
