1、身份认证:
- 常用弱口令/基于字典的密码爆破
- 锁定账号
- 信息收集:手机号/密码错误提示信息/或者返回的errorcode(如01为账户错误,02为密码错误)
- 密码嗅探:流量截获
2、会话sessionID
cookie、session ID一般不会放在文件中,基本上都存在内存中,如IE浏览器F12打开开发者工具,选择“缓存”,找到sessionID
sessionID
然后使用VM中的火狐浏览器的cookie manager,首先下面图中第一个wrong是输入错误的用户名、密码后生成的sessionID,第二个是正确的,并且第一个是在kali中的火狐浏览器生成的,第二个是在宿主机的IE浏览器生成的,如果把正确的复制到火狐中的session中,是否能正常的登录呢?
两个sessionID
替换正确后的sessionID
替换后,访问http://192.168.1.107/dvwa,能够直接登陆
成功登陆
logout后不能直接登陆成功,但在关闭浏览器却能成功,因此安全做法是:在重新打开后也要使sessionID失效,并且不能一直使用同一个SessionID
比如:在登陆成功后,点击“logout”,然后在点击后退等按钮时是不能登录进去的,此时服务器只是将状态改为“未激活”,此时如果关闭浏览器,再重新打开,服务器会自动下发给浏览器一个随机的sessionID,sessionID已经变化了,即不能登录的session。然后再修改为之前成功登陆的session,看是否能登录成功?
原有状态
关闭再重新打开浏览器
再次成功登陆
- XSS/cookie importer
- SesssionID in URL
- 嗅探
- SessionID长期不变
- SessionID生成算法:
- sequencer:burpsuite中验证session的健壮性
- 私有算法:开发人员自己设计的算法,并不安全
- 预判下一次登录时生成的sessionID
- 登录后返回测试:上面logout的测试
网友评论