说出至少三种业务逻辑漏洞,以及修复方式

江小悠 21 0

密码找回漏洞中存在:
1)密码允许暴力破解
2)存在通用型找回凭证
3)可以跳过验证步骤
4)找回凭证可以拦包获取等方式来通过厂商提供的密码找回功能来得到密码

身份认证漏洞中最常见的是:
5)会话固定攻击
6)Cookie仿冒
只要得到 Session或 Cookie即可伪造用户身份

验证码漏洞中存在:
7)验证码允许暴力破解
8)验证码可以通过Javascript或者改包的方法来进行绕过

发表评论 取消回复
表情 图片 链接 代码

分享