主流网站登录问题

登录是一个网站的核心,也是整个网站是否安全的评判。

目前大型网站都有自己的登录实现,比如基于cookie登录控制,session登录控制,分布式登录控制。

本文主要分析目前一些比较大的网站安全控制,文章不长,但可作参考。



1.土豆:

登录跳转漏洞:

http://login.tudou.com/login.do?service=http://www.baidu.com/

很明显,没对跳转url作白名单校验


编辑权限控制漏洞:

登录后进入某一个用户我的土豆,修改cookie中的u_id为对应的xxxxxxxxx id,刷新页面,可以对该页面进行操作。

http://www.tudou.com/home/_xxxxxxxxx/

发现主页中我的土豆也已经变成对应uid的用户信息了。

这就是典型的权限控制依赖客户端导致的,非常不明智的设计,这样根本没权限可言。











你可能感兴趣的:(问题)