這個月帶給你的是網(wǎng)站繞過認證漏洞。為了更好的保證業(yè)務管理系統(tǒng)的安全保護，基本上每個系統(tǒng)軟件都有各種認證功能。常見的認證功能有賬號密碼認證、驗證碼短信認證、JavaScript數(shù)據(jù)信息內(nèi)容認證和服務器端數(shù)據(jù)信息內(nèi)容認證。但是，編寫代碼的技術人員很可能在身份驗證方法方面存在不足，這可能會導致他們被繞過。所以本文總結了以下幾種繞過認證的姿勢，和大家一起探討。

Pc客戶端驗證繞過

客戶端校驗是一種常見的校驗方式，也就是說在pc客戶端對客戶的輸入進行校驗，將校驗結果作為基本參數(shù)發(fā)送給服務器，或者使用web前端語言限制客戶的非法輸入和應用。該類的測試方法可以通過更改web前端語言或篡改傳輸數(shù)據(jù)中的基本參數(shù)來繞過身份驗證。

示例：

A)觀看視頻前需要購買一個系統(tǒng)軟件，不同的課程內(nèi)容以id地址劃分。

b)。弄清楚支付是否只在web前端原生js調(diào)整，改變courseID就能看到不同的課程內(nèi)容。recordURL是指在線視頻觀看的超鏈接，無需登錄即可播放。

c)根據(jù)網(wǎng)絡電影中的視頻碼，可以獲取詳細地址3360進行在線視頻觀看。

獲得url是視頻在線觀看的詳細地址。

d)根據(jù)代碼，可以在線觀看網(wǎng)站視頻。

客戶端身份驗證個人信息泄露

程序員在編寫認證程序代碼時，很有可能會將認證信息內(nèi)容立即泄露到pc客戶端，攻擊者可以根據(jù)對服務器返回的數(shù)據(jù)信息的深入分析，立即得到核心的認證信息內(nèi)容，然后進行認證。

示例：

當需要完全免費的wifi接入時，必須應用發(fā)送到手機的密碼來完成認證。在抓取發(fā)送登錄密碼的數(shù)據(jù)文件時，發(fā)現(xiàn)登錄密碼被返回到pc客戶端，導致各大網(wǎng)站賬號都可以登錄連接的網(wǎng)絡。

客戶端進程調(diào)整繞過

當程序員編寫認證程序代碼時，很可能會將認證效果返回給pc客戶端，pc客戶端根據(jù)服務器提供的認證效果完成下一個應用，攻擊者可以根據(jù)篡改認證效果或者立即實現(xiàn)下一個應用來繞過它。

示例：

A)系統(tǒng)軟件密碼重置需要三個過程。第一步，輸入圖形驗證碼。

b)。然后需要根據(jù)驗證碼短信認證真實身份。

d)。您可以成功更改您的密碼和登錄密碼。

應用目標篡改旁路

如果應用程序選擇連續(xù)的真實身份驗證措施或真實身份驗證過程與操作過程分離，它可以嘗試在身份認證過程中改變真實身份驗證目標或應用程序目標可以完成旁路認證。

示例：

a)更改系統(tǒng)軟件綁定的手機號碼。b)。挑選和接收電話驗證碼的變化完全免費。c)將更改后的手機號改為自己的手機號。d)根據(jù)變更后的手機號碼接收到的校驗碼，變更手機號碼。e)。發(fā)現(xiàn)可以順利換一個全新的手機號?；緟?shù)篡改，程序員在編寫認證程序代碼時大概會檢查驗證碼的短信字段名的準確性，但是當驗證碼的短信字段名不存在或者為空時，就會馬上檢查。如果你的網(wǎng)站存在邏輯漏洞，又不知道如何檢測修復，可以找專業(yè)的網(wǎng)站安全公司處理。國內(nèi)的SINE安全，綠色聯(lián)盟，鷹盾安全，深信服，金星都挺好的。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗，每一個項目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！