摘要:
PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。 在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候有可能触发对象中的一些魔术方法。 serialize() //将一个对象转换为一个字符串 un 阅读全文
摘要:
验证码安全 分类:图片,手机或者邮箱,语音,视频,操作等 原理:验证生成或验证过程中的逻辑问题 危害:账户权限泄露,短信轰炸,遍历,任意用户操作等 漏洞:客户端回显,验证码复用,验证码爆破,绕过 Token安全 基本上述同理,主要验证中柯村仔绕过课继续后续测试 token爆破,token客户端回显等 阅读全文
摘要:
什么是认证(Authentication) • 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) • 互联网中的认证: ○ 用户名密码登录 ○ 邮箱发送登录链接 ○ 手机号接收验证码 ○ 只要你能收到邮 阅读全文