新网创想网站建设,新征程启航

为企业提供网站建设、域名注册、服务器等服务

逻辑漏洞之修改响应包绕过登录校验

  逻辑漏洞是由于程序逻辑不严或逻辑太复杂,导致被***者利用,从而通过篡改相关数据来达到自己的目的,如绕过登录校验等!

创新互联建站2013年开创至今,先为石屏等服务建站,石屏等地企业,进行企业商务咨询服务。为石屏企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

实践操作

简单原理介绍

  (这里只对本次实践原理的一个简单介绍)由于对登录的账号及口令校验存在逻辑缺陷,或再次使用服务器端返回的相关参数作为最终登录凭证,导致可绕过登录限制,如服务器返回一个flag参数作为登录是否成功的标准,但是由于代码最后登录是否成功是通过获取这个flag参数来作为最终的验证,导致***者通过修改flag参数即可绕过登录的限制!

截断数据包

逻辑漏洞之修改响应包绕过登录校验

设置显示响应包

逻辑漏洞之修改响应包绕过登录校验

修改响应包

逻辑漏洞之修改响应包绕过登录校验
逻辑漏洞之修改响应包绕过登录校验

登录成功

逻辑漏洞之修改响应包绕过登录校验

第二种修改响应包的方法

  这种修改对于后续需要继续修改的比较适用,如修改cookie来维持访问的这种!
逻辑漏洞之修改响应包绕过登录校验

修复建议

  修改验证逻辑,如是否登录成功服务器端返回一个参数,但是到此就是最终验证,不需要再对返回的参数进行使用并作为登录是否成功的最终判断依据!


当前名称:逻辑漏洞之修改响应包绕过登录校验
转载来源:http://wjwzjz.com/article/jdoidd.html
在线咨询
服务热线
服务热线:028-86922220
TOP