快上网专注成都网站设计 成都网站制作 成都网站建设
成都网站建设公司服务热线:028-86922220

网站建设知识

十年网站开发经验 + 多家企业客户 + 靠谱的建站团队

量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决

逻辑漏洞之修改响应包绕过登录校验

  逻辑漏洞是由于程序逻辑不严或逻辑太复杂,导致被***者利用,从而通过篡改相关数据来达到自己的目的,如绕过登录校验等!

创新互联建站2013年开创至今,先为石屏等服务建站,石屏等地企业,进行企业商务咨询服务。为石屏企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

实践操作

简单原理介绍

  (这里只对本次实践原理的一个简单介绍)由于对登录的账号及口令校验存在逻辑缺陷,或再次使用服务器端返回的相关参数作为最终登录凭证,导致可绕过登录限制,如服务器返回一个flag参数作为登录是否成功的标准,但是由于代码最后登录是否成功是通过获取这个flag参数来作为最终的验证,导致***者通过修改flag参数即可绕过登录的限制!

截断数据包

逻辑漏洞之修改响应包绕过登录校验

设置显示响应包

逻辑漏洞之修改响应包绕过登录校验

修改响应包

逻辑漏洞之修改响应包绕过登录校验
逻辑漏洞之修改响应包绕过登录校验

登录成功

逻辑漏洞之修改响应包绕过登录校验

第二种修改响应包的方法

  这种修改对于后续需要继续修改的比较适用,如修改cookie来维持访问的这种!
逻辑漏洞之修改响应包绕过登录校验

修复建议

  修改验证逻辑,如是否登录成功服务器端返回一个参数,但是到此就是最终验证,不需要再对返回的参数进行使用并作为登录是否成功的最终判断依据!


分享名称:逻辑漏洞之修改响应包绕过登录校验
当前网址:http://6mz.cn/article/jdoidd.html

其他资讯