delay
2
高級測評師
CISM-WSE
官方采納
delay2
高級測評師
CISM-WSE
針對前端認證有以下威脅:
簡單加密:前端加密、后端界解密校驗、利用解密工具解密。如: BP解密、在線cmd5等
Session&Cookie會話固定:利用服務器唯標識長期不失效的漏洞原則 ,反復修改測試。
Cookie盜取/假冒:修改Cookie中的某個參數登陸其他用戶。
預測:對唯一ID的脆弱性進行檢測,不安全的Web Appliction ID被預測。
暴力破解/撞庫:首先嘗試5次或者10次賬號密碼登陸,發現目標是否封禁幾次請求,沒有封盡則可以不斷爆破。采用賬號密碼爆破,對于些商城 、應用、政府、學校則采用撞庫方式判斷是否存在該賬號(需要準備各類字典:手機號撞庫,郵箱撞庫,姓名撞庫)。
安全小白成長記
2
信息安全等級高級測評師
CISP-PTE
官方采納
安全小白成長記2
信息安全等級高級測評師
CISP-PTE
針對前端認證有以下威脅:
簡單加密:前端加密、后端界解密校驗、利用解密工具解密。如: BP解密、在線cmd5等。
Session&Cookie會話固定:利用服務器唯標識長期不失效的漏洞原則 ,反復修改測試。
Cookie盜取/假冒:修改Cookie中的某個參數登陸其他用戶。
預測:對唯一ID的脆弱性進行檢測,不安全的Web Appliction ID被預測。
暴力破解/撞庫:首先嘗試5次或者10次賬號密碼登陸,發現目標是否封禁幾次請求,沒有封盡則可以不斷爆破。采用賬號密碼爆破,對于些商城 、應用、政府、學校則采用撞庫方式判斷是否存在該賬號(需要準備各類字典:手機號撞庫,郵箱撞庫,姓名撞庫)。
推薦文章
