若依框架的暴力破解漏洞

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了若依框架的暴力破解漏洞相关的知识,希望对你有一定的参考价值。

文章目录

漏洞描述

由于图片验证码未做好前后台的统一校验,可重复利用验证码,以及无登录错误次数限制等,导致攻击者可对账号与密码进行的穷举测试,从而获取网站登录访问权限

漏洞复现

第一步 抓包获取登录数据包,默认口令Admin123

第二步 发送到Intrude模块
注意:此时原始数据包直接drop,或者一直卡包,

第三步 查看返回结果
发现图片验证码是生效的,一直在校验用户名和密码等信息
接口没有做校验,导致的图片验证码可以重复利用
只是前端做了验证码校验,后台没有做校验,到时可以直接利用
正确逻辑:只要提交一次,服务器就失效,自动更新验证码,不能让重复利用

以上是关于若依框架的暴力破解漏洞的主要内容,如果未能解决你的问题,请参考以下文章

大佬讲暴力破解漏洞的原理利用和防范

业务安全-03业务逻辑漏洞之暴力破解(Burte Force)

Linux主机密码暴力破解

Linux主机密码暴力破解

Linux主机密码暴力破解

Pikachu靶场超详细通关教程(持续更新中~)