4.13.6. 验证码
- 验证码可重用
- 验证码可预测
- 验证码强度不够
- 验证码无时间限制或者失效时间长
- 验证码无猜测次数限制
- 验证码传递特殊的参数或不传递参数绕过
- 验证码可从返回包中直接获取
- 验证码不刷新或无效
- 验证码数量有限
- 验证码在数据包中返回
- 修改Cookie绕过
- 修改返回包绕过
- 验证码在客户端生成或校验
- 验证码可OCR或使用机器学习识别
- 验证码用于手机短信/邮箱轰炸
4.13.8. 越权
-
- 水平越权
-
- 攻击者可以访问与他拥有相同权限的用户的资源
- 权限类型不变,ID改变
-
- 垂直越权
-
- 低级别攻击者可以访问高级别用户的资源
- 权限ID不变,类型改变
-
- 交叉越权
-
- 权限ID改变,类型改变