6.2.1:密碼保密性不強
弱密碼,web應用並未對使用者自定義的密碼進行約束。
6.2.2:蠻力攻擊登入
暴力破解,應用程式允許攻擊者無阻力地不斷嘗試錯誤密碼,直到猜對,不採取阻攔。
6.2.3:詳細的失敗訊息
類似於登入失敗後顯示的「使用者不存在」和「密碼錯誤」,這樣會幫助攻擊者確定username和password的一項(基本上是username),從而專攻password,並且通過暴力獲取大量使用者名稱。登入失敗返回的頁面效果可能一樣,但html原始碼可能有所不同。
6.2.4:證書傳輸易受攻擊
to be continued
《黑客攻防技術寶典 系統實戰篇 第2版 》目錄
黑客攻防技術寶典 系統實戰篇 第2版 目錄 一 前言 邊看邊寫邊實操 二 目錄 作業系統是連線計算機硬體與上層軟體及使用者的橋梁。該書全面介紹了作業系統的安全問題。從基本的棧 堆 記憶體布局等方面著手,深入到作業系統的各個層次方面。第一部分 破解入門 x86上的linux 第1章 基礎 1 基本概念...
黑客攻防技術寶典 web實戰 筆記 第二章
所有使用者輸入都不可信。要求使用者提交使用者名稱與密碼,由應用程式對其進行核實,確認其合法性。使用者將被作為匿名處理,成為最低一級的信任。令牌是乙個唯一的字串串,用來進行驗證使用者身份。簡單的解釋一下,就是什麼樣的使用者許可權,訪問什麼樣的資料。還有就是什麼樣的使用者使用什麼樣的功能。eg 普通使用...
黑客攻防技術寶典 反病毒篇筆記(三)
所有反病毒引擎自始至終都在使用反病毒特徵碼技術。特徵碼一般是一串包括判斷檔案或緩衝區是否存在已知惡意檔案特徵的短小雜湊值或位元組碼。位元組流是最簡單的反病毒特徵碼形式,偵測病毒最簡單的方式就是匹配特徵位元組流,因為其簡單而快速。目前反病毒最常用的特徵碼匹配技術是基於計算匹配crc實現的。crc 迴圈...