摘要:
WAF分类 0x01 云waf 在配置云waf时(通常是CDN包含的waf),DNS需要解析到CDN的ip上去,在请求uri时,数据包就会先经过云waf进行检测,如果通过再将数据包流给主机。 0x02 主机防护软件 在主机上预先安装了这种防护软件,可用于扫描和保护主机(废话),和监听web端口的流量 阅读全文
posted @ 2019-11-10 19:50
ZM思
阅读(7770)
评论(0)
推荐(0)
摘要:
身份认证安全 1.暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本描述 Burpsuite htpwd 阅读全文
posted @ 2019-11-10 18:57
ZM思
阅读(752)
评论(0)
推荐(0)
摘要:
细说验证码安全 —— 测试思路大梳理 1 前言 在安全领域,验证码主要分为两大类:操作验证码 和 身份验证码 虽然都是验证码,但是这两者所承担的职责却完全不同。 操作验证码,比如登录验证码,主要用来 区分人与机器 ,在某种程度上属于图灵测试 身份验证码,主要用来判断账号归属人,解决信任问题,所以更恰 阅读全文
posted @ 2019-11-10 18:57
ZM思
阅读(3047)
评论(0)
推荐(0)
摘要:
目录 0×01. 图形验证码 0×02. 短信验证码 0×03. 语音验证码 0×04. 滑动验证码 0×05. 总结 备注:无论使用哪种验证码,只要开发不当都可能存在安全漏洞,为了减少文章重复内容,只在短信验证码中讲解漏洞以及对应加固方案,在语音验证码中讲解风控预防措施。 0×01 图形验证码 图 阅读全文
posted @ 2019-11-10 18:40
ZM思
阅读(1099)
评论(0)
推荐(0)
浙公网安备 33010602011771号