1.登录认证不存在绕过现象
登录重放测试
登录注入测试,目标是ldap,使用万能密码无果,尝试使用ldap进行注入尝试
不存在微信绑定的功能,所以不存在微信绕过
2.登录账户没有锁定账户功能
登录界面没有验证码功能
登录界面没有账户锁定功能,通过fiddler快速重放流量,并没有发现账户锁定现象
既然不存在账户锁定,那么也发现不存在客户端IP黑名单情况
如果有锁定账户功能,可以会给账户带来拒绝的现象,攻击者会不停的暴力破解账户,导致账户被锁定
3.内存读取测试
Web登录窗口,非https加密流量,内存读取账户和密码一般是针对软件登录窗口
4.口令测试
弱口令测试,发现不存在弱口令
密码错误次数测试,不存在校验密码错误次数限制
密码复杂度测试
5.用户枚举测试
对用户进行暴力破解
寻找登录接口或者其他接口,确认账户是否注册或者存在,利用漏洞遍历已存在的账户
撞库(凭证填充)使用其他网站的账户和密码测试登录,发现不存在此漏洞
密码喷洒 使用同一个弱口令爆破上面遍历出来的用户,或者暴力破解用户名,发现也不存在
6.认证错误模糊提示
登录窗口并非是认证模糊提示,存在明确错误提示
7.图形验证码测试
目标不存在验证码系统
8.密码找回功能/重置接口
判断用户的凭证是否存在时效性,一段时间后再测试查看用户凭证是否依然有效
确认凭证的接收端,看是否能够更改用户凭证的手机号,邮箱等等
用户凭证暴力破解,如果短信验证码较短,或者就是4位数的纯数字,就可以暴力破解
凭证序列号绑定测试,因为有的时候短信验证码会下发附带序列号,看看序列号和凭证是否是一一对应的
越权重置他人密码,Cookie混淆看看是否通过混淆Cookie来重置他人密码
查看响应中是否返回验证码
通过跳过步骤,看是否能直接访问修改密码页面
查看本地js,看是否存在客户端本地验证,就是密码修改验证逻辑再前端js脚本实现,可以根据逻辑绕过并修改密码
看是否存在弱token问题,生成的密码找回token在数据包中返回,通过将帐号和token拼接进入重置密码页面,或者未校验Token与密码找回用户的对应的关系
9.二维码登录
本次目标不粗壮乃二维码登录
查看二维码生成是在本地还是服务端,若在本地生成,检测是否可以破解生成的算法,伪造二维码,若是在服务端生成,通过Fiddler抓包捕获传输的数据,检测传输过程的二维码数据是否加密,是否可以被篡改
扫码功能登录,在扫描二维码时会直接使用浏览器打开二维码中的url地址,客户端未对url的域名进行指定和限制,当浏览器存在命令执行漏洞时扫描恶意url可能导致系统感染木马,攻击者也可能通过恶意的二维码在线下对用户进行钓鱼攻击。
扫码修改数据包任意登录
10.会话管理
Cookies属性是否存在HttpOnly,Secure
正常退出和注销的时候会话是否在服务端被清除
是否有会话超时的功能
是否存在会话固定漏洞
会话标识随机性测试,通过burpsuite进行批量测试session是否是强随机性,是否可被预测
会话并发测试
11.人脸识别
活体检测
是否可以通过分析绕过活体检测,直接通过静态方式认证。
人脸识别数据重放
人脸识别数据中是否存在随机因子,是否可以被重放。
任意人脸数据登录
结合人脸识别数据重放问题,利用他人人脸数据是否可以登录他人账户。
网友评论