若依框架的暴力破解漏洞
Posted 星球守护者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了若依框架的暴力破解漏洞相关的知识,希望对你有一定的参考价值。
文章目录
漏洞描述
由于图片验证码未做好前后台的统一校验
,可重复利用验证码,以及无登录错误次数限制等,导致攻击者可对账号与密码进行的穷举测试,从而获取网站登录访问权限
漏洞复现
第一步 抓包获取登录数据包,默认口令Admin123
第二步 发送到Intrude模块
注意:此时原始数据包直接drop,或者一直卡包,
第三步 查看返回结果
发现图片验证码是生效的,一直在校验用户名和密码等信息
接口没有做校验,导致的图片验证码可以重复利用
只是前端做了验证码校验,后台没有做校验,到时可以直接利用
正确逻辑:只要提交一次,服务器就失效,自动更新验证码,不能让重复利用
以上是关于若依框架的暴力破解漏洞的主要内容,如果未能解决你的问题,请参考以下文章