登录界面的N种漏洞总结
2021-12-04 14:25:26 0 举报AI智能生成
登录界面的N种漏洞总结
作者其他创作
大纲/内容
注册界面
条件竞争
任意文件上传
任意用户名/手机号注册
XSS
自弹XSS (Self XSS)
盲打XSS
参考登录页面的漏洞点
找回密码界面
N种密码重置姿势
参考登录页面的漏洞点
登录界面
信息泄露
HTML页面源码
用户名、密码
注册页面或找回密码页面的URL泄露
CMS信息
JS代码
加密算法的key
js sourcemap泄露
图形验证码绕过
验证码重放
置空验证码的参数或参数值
一直开启拦截,不让其主动刷新
利用第三方插件来自动识别
暴力破解
默认账号密码
用户名枚举
弱口令
短信验证码问题
短信验证码在响应包或请求包中
短信轰炸
短信验证码可爆破(四位纯数字)
SQL注入
万能用户名和万能密码
SQL注入
XSS
反射型XSS
DOM型XSS
自弹XSS (self XSS)
URL重定向
中间人劫持
已解密的登录请求(明文传输)
不安全的加密算法
登录绕过
修改响应包绕过前端校验
Cookie伪造
CSRF
登录页面的说明提示
用户使用手册(可能泄露账号密码)
系统使用手册/视频(可能泄露用户名、URL等信息)
0 条评论
下一页
