溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

邏輯漏洞之修改響應(yīng)包繞過登錄校驗

發(fā)布時間:2020-07-31 04:26:28 來源:網(wǎng)絡(luò) 閱讀:4602 作者:eth10 欄目:安全技術(shù)

??邏輯漏洞是由于程序邏輯不嚴或邏輯太復(fù)雜,導(dǎo)致被***者利用,從而通過篡改相關(guān)數(shù)據(jù)來達到自己的目的,如繞過登錄校驗等!

實踐操作

簡單原理介紹

??(這里只對本次實踐原理的一個簡單介紹)由于對登錄的賬號及口令校驗存在邏輯缺陷,或再次使用服務(wù)器端返回的相關(guān)參數(shù)作為最終登錄憑證,導(dǎo)致可繞過登錄限制,如服務(wù)器返回一個flag參數(shù)作為登錄是否成功的標準,但是由于代碼最后登錄是否成功是通過獲取這個flag參數(shù)來作為最終的驗證,導(dǎo)致***者通過修改flag參數(shù)即可繞過登錄的限制!

截斷數(shù)據(jù)包

邏輯漏洞之修改響應(yīng)包繞過登錄校驗

設(shè)置顯示響應(yīng)包

邏輯漏洞之修改響應(yīng)包繞過登錄校驗

修改響應(yīng)包

邏輯漏洞之修改響應(yīng)包繞過登錄校驗
邏輯漏洞之修改響應(yīng)包繞過登錄校驗

登錄成功

邏輯漏洞之修改響應(yīng)包繞過登錄校驗

第二種修改響應(yīng)包的方法

??這種修改對于后續(xù)需要繼續(xù)修改的比較適用,如修改cookie來維持訪問的這種!
邏輯漏洞之修改響應(yīng)包繞過登錄校驗

修復(fù)建議

??修改驗證邏輯,如是否登錄成功服務(wù)器端返回一個參數(shù),但是到此就是最終驗證,不需要再對返回的參數(shù)進行使用并作為登錄是否成功的最終判斷依據(jù)!

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI