一、登录框常见漏洞
1、常规漏洞
未授权访问
未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,不需要输入密码,即可通过输入网站控制台主页面地址或者不允许查看的连接便可进行访问,同时进行操作
url重定向
网站接受到用户输入的链接,跳转到一个攻击者控制的网站,可能导致跳转过去的用户被黑客设置的钓鱼页面骗走自己的个人信息和登录口令。
目录遍历、信息泄露
目录遍历漏洞是由于web中间件目录访问相关的配置错误造成的,该漏洞会泄露web应用程序的敏感路径、敏感的文件信息、网站的编辑器路径或测试接口、系统敏感目录等信息。
利用思路:第一步正常输入用户名,第二部输入任意验证码,直接访问输入新密码,重置密码。
验证码回显
思路:登录接收验证码时,Burp抓包,可以看到验证码回显在返回包中。
万能验证码
类似于弱口令,程序员开发为了方便,设置比较简单,例如8888、0000等。
验证码失效、未与用户绑定。