網站漏洞修復服務商對繞過認證漏洞的探討

本月帶給大家的是網站繞過認證漏洞。為了更好地確保業務管理系統的安全防護，基本上每一系統軟體都是會存有各式各樣的認證功能。普遍的幾類認證功能就包含賬戶密碼認證、驗證碼簡訊認證、JavaScript資料資訊內容認證及伺服器端資料資訊內容認證這些，但寫程式碼的技術員在涉及到認證方法時很有可能存有缺點造成被繞過，因此小結了下列幾類繞過認證的姿態和大夥兒一塊探討探討。

pc客戶端檢驗繞過

pc客戶端檢驗是普遍的一類檢驗方法，也就是說在pc客戶端檢驗客戶的輸入，將檢驗效果作為基本引數傳送至伺服器端，或運用web前端語言限定客戶的非法輸入和應用。應對該類的檢驗方法能夠根據變更web前端語言或是在傳輸資料中對基本引數完成篡改來繞過認證。

舉例說明：

a).某系統軟體需要選購才可以影片觀看，不一樣的課程內容以id地址去劃分。

b).發覺是不是付錢只靠web前端原生js調節，變更courseID就能夠看見不一樣的課程內容，recordURL就是說影片線上觀看的超連結，不需要登入就可以播放。

c).依據線上播放電影中的videoCode，可得到影片線上觀看詳細地址:

得到url為影片線上觀看詳細地址。

d).根據程式碼，可將網站影片線上觀看下來。

pc客戶端認證個人資訊洩露

程式設計師在寫認證程式程式碼時會很有可能會將認證資訊內容立即洩漏到pc客戶端，攻擊者就能夠根據深入分析伺服器端的返回資料資訊立即得到核心的認證資訊內容進而進行認證。

舉例說明：

某完全免費wifi接入時須要應用傳送至手機的密碼完成認證，爬取傳送登入密碼的資料檔案時，發現登入密碼返回pc客戶端，造成各大網站賬戶能夠登陸連線網路。

pc客戶端流程調節繞過

程式設計師在寫認證程式程式碼時會很有可能會認證效果返回到pc客戶端，由pc客戶端依據伺服器端提供的認證效果完成下一階段應用，攻擊者能夠根據篡改認證效果或立即實行下一階段應用完成繞過。

舉例說明：

a).某系統軟體密碼重置需要3個流程，第一步要輸入圖形驗證碼。

b).隨後需要根據驗證碼簡訊認證真實身份。

d).可順利更改密碼登入密碼。

應用目標篡改繞過

假如某應用選用了連續性真實身份檢驗措施或真實身份檢驗流程與操作流程分開，能夠嘗試在身份認證流程中更換真實身份檢驗目標或應用目標完成繞過認證。

舉例說明：

a).變更某系統軟體的繫結手機號。b).挑選完全免費接到電話驗證碼變更。c).將變更的手機號改成自個的手機號。d).根據變更的手機號接到的檢驗碼變更手機號。e).發覺能夠順利變更成全新的手機號。基本引數篡改,程式設計師在寫認證程式程式碼時會很有可能會對驗證碼簡訊欄位名完成準確性檢驗，但當驗證碼簡訊欄位名不會有或者是為空時就立即根據檢驗。如果您的網站也存在邏輯漏洞，不知該如何進行檢測以及修復，可以找專業的網站安全公司來進行處理，國內SINE安全，綠盟，鷹盾安全，深信服，啟明星辰都是比較不錯的。