逻辑漏洞之修改响应包绕过登录校验

发布时间:2020-07-31 04:26:28 作者:eth10
来源:网络 阅读:4627

  逻辑漏洞是由于程序逻辑不严或逻辑太复杂,导致被***者利用,从而通过篡改相关数据来达到自己的目的,如绕过登录校验等!

实践操作

简单原理介绍

  (这里只对本次实践原理的一个简单介绍)由于对登录的账号及口令校验存在逻辑缺陷,或再次使用服务器端返回的相关参数作为最终登录凭证,导致可绕过登录限制,如服务器返回一个flag参数作为登录是否成功的标准,但是由于代码最后登录是否成功是通过获取这个flag参数来作为最终的验证,导致***者通过修改flag参数即可绕过登录的限制!

截断数据包

逻辑漏洞之修改响应包绕过登录校验

设置显示响应包

逻辑漏洞之修改响应包绕过登录校验

修改响应包

逻辑漏洞之修改响应包绕过登录校验
逻辑漏洞之修改响应包绕过登录校验

登录成功

逻辑漏洞之修改响应包绕过登录校验

第二种修改响应包的方法

  这种修改对于后续需要继续修改的比较适用,如修改cookie来维持访问的这种!
逻辑漏洞之修改响应包绕过登录校验

修复建议

  修改验证逻辑,如是否登录成功服务器端返回一个参数,但是到此就是最终验证,不需要再对返回的参数进行使用并作为登录是否成功的最终判断依据!

推荐阅读:
  1. iOS 13 绕过锁屏密码漏洞
  2. IntelAMT 固件密码绕过登录漏洞分析与实战

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

逻辑漏洞

上一篇:Manage Attachment feature

下一篇:Windows核心编程(1)

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》