邏輯漏洞之修改響應包繞過登錄校驗-創(chuàng)新互聯(lián)

邏輯漏洞是由于程序邏輯不嚴或邏輯太復雜，導致被***者利用，從而通過篡改相關數(shù)據(jù)來達到自己的目的，如繞過登錄校驗等！

專注于為中小企業(yè)提供網(wǎng)站設計、網(wǎng)站建設服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)洛龍免費做網(wǎng)站提供優(yōu)質(zhì)的服務。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了1000多家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

實踐操作

簡單原理介紹

（這里只對本次實踐原理的一個簡單介紹）由于對登錄的賬號及口令校驗存在邏輯缺陷，或再次使用服務器端返回的相關參數(shù)作為最終登錄憑證，導致可繞過登錄限制，如服務器返回一個flag參數(shù)作為登錄是否成功的標準，但是由于代碼最后登錄是否成功是通過獲取這個flag參數(shù)來作為最終的驗證，導致***者通過修改flag參數(shù)即可繞過登錄的限制！

截斷數(shù)據(jù)包

設置顯示響應包

修改響應包

登錄成功

第二種修改響應包的方法

這種修改對于后續(xù)需要繼續(xù)修改的比較適用，如修改cookie來維持訪問的這種！

修復建議

修改驗證邏輯，如是否登錄成功服務器端返回一個參數(shù)，但是到此就是最終驗證，不需要再對返回的參數(shù)進行使用并作為登錄是否成功的最終判斷依據(jù)！

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

本文名稱：邏輯漏洞之修改響應包繞過登錄校驗-創(chuàng)新互聯(lián)
文章來源：http://www.muchs.cn/article8/sphop.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供標簽優(yōu)化、微信公眾號、品牌網(wǎng)站設計、響應式網(wǎng)站、Google、服務器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)