针对 token攻击,你会对 token的哪方面进行测试

江小悠 14 0

针对 token的攻击,一是对它本身的攻击,重放测试一次性、分析加密规则、校验方式是否正确等,二是结合信息泄露漏洞对它的获取,结合着发起组合攻击。信息泄露有可能是缓存、日志、get,也有可能是利用跨站。很多跳转登录的都依赖 token,有一个跳转漏洞加反射型跨站就可以组合成登录劫持了。
另外也可以结合着其它业务来描述 token的安全性及设计不好怎么被绕过比如抢红包业务之类的。

发表评论 取消回复
表情 图片 链接 代码

分享