验证码安全
分类:图片,手机或者邮箱,语音,视频,操作等
原理:验证生成或验证过程中的逻辑问题
危害:账户权限泄露,短信轰炸,遍历,任意用户操作等
漏洞:客户端回显,验证码复用,验证码爆破,绕过
Token安全
基本上述同理,主要验证中柯村仔绕过课继续后续测试
token爆破,token客户端回显等
验证码识别插件工具使用
captcha-killer使用
pkav-Http-fuzz,reCAPTCHA等
接口安全问题
调用,遍历,未授权,篡改
调用案例:短信轰炸
遍历案例:UID等遍历
callback回调:JSONP
参数篡改:墨者靶场
未授权访问与越权漏洞区别
Jboss 未授权访问
验证码识别插件及工具操作演示-实例
验证码绕过本地及远程验证-本地及实例
Token客户端回显绕过登录爆破演示-本地
某URL下载接口ID值调用遍历测试-实例
Callback自定义返回值调用安全-漏洞测试-实例
回调,,开发某个接口给网站
设置草叉模式,第一个为密码,第二个为字典(Token)