身份认证逻辑缺陷漏洞挖掘思路

背景

在渗透测试项目中,很多时候横在我们渗透路上的第一个拦路虎就是后台登录界面,有时可以通过找弱密码的方式直接获取登录后的权限,有时也可以通过钓鱼或者在其他业务系统中拿到的账户密码来登录目标系统获取更多权限,有时也可以通过未授权访问漏洞来获取本应登录后才能拿到的数据,但是如果没有以上渠道,想要获取一个靶标系统的访问权限就比较难了,因此下文总结身份认证逻辑缺陷相关漏洞挖掘思路。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×