暴力破解测试
对防护比较弱的登录页面,可以使用暴力破解的方法穷举处用户名和密码。
分为三种情况:
1.已知账号,加载密码字典针对密码进行穷举测试
2.已知密码,加载账号字典对用户名进行穷举测试
3.账号和密码均未知,加载账号和密码字典对两者进行穷举测试
修复建议:
1.增加验证码
2.在一定时间内,限制同一用户登录或同一IP地址的登录错误次数
3.使用手机或邮箱接受验证码,进行验证
本地加密传输测试
本地加密传输测试是针对客户端与服务端都数据传输,查看数据是否采用了SSL加密方式。
session测试
Session是应用系统对客户端身份认证的属性标识,在用户退出应用系统时,应将客户端的Session标识删除。如果未删除客户端Session,在下一次登录系统时会重复使用该Session进行认证会话。攻击者可利用该漏洞生成固定的Session会话,并诱骗用户使用该会话进行系统登录,从而导致用户的会话认证被窃取。
测试过程:
两次登录系统,分别记录下其Session信息,比对其是否相同。
session注销测试
在用户注销或者退出应用系统时,系统应将客户端的session认证属性标识删除。如果未删除,则该认证会话将持续有效,此时攻击者在获得了用户的session认证会话后,会导致用户权限被盗取。
测试过程:
1.使用burp对抓取已经登录授权的页面,将其发送到repeater模块中
2.在已授权的页面中退出系统
3.在repeater模块相应授权数据页面中单击GO,再次发送授权访问请求并查看系统是否对退回后的用户授权Session进行解除授权
session会话超时时间测试
在用户成功登录系统获得session认证会话后,该session认证会话应具有生命力周期,用户在一定时间内不与服务端发生交互,session就应该被销毁。
测试过程:
1.使用burp对抓取已经登录授权的页面,将其发送到repeater模块中
2.在间隔一定时间后,在发送该数据包
3.观察服务端返回的结果,是否存在在授权后可查阅的特殊信息
cookie冒充测试
攻击者通过修改cookie中的身份标识,从而达到冒充其他用户的目的,并拥有相关用户的所有权限。
密文对比认证测试
在系统登录时,密码加密流程一般是先将用户名和密码发送到服务器,服务器会把用户提交的密码经过Hash算法加密后和数据库中存储的加密值进行对比。
而有些网战,会在前台使用JS对密码进行Hash加密后再传输给服务器并于数据库中的加密值进行对比,这样可能会泄露数据库信息的加密方式。
登录失败信息测试
根据登录失败的提示信息来判读当前登录账号在系统中是否存在,从而进行具有针对性的暴力破解口令测试。
来源:freebuf.com 2021-05-13 16:26:28 by: hu666666
请登录后发表评论
注册