·会话管理
1、会话清除:绝对时间清除+无操作清除
2、登陆前与登录后的sesstionid一样导致会话固定攻击
3、案例一:
·暴力破解
4、短信验证码本地生成:短信验证码出现在html、js或者在提交请求包里面
5、密码复杂度校验要在服务端,客户端进行的话,用burp抓包修改,可绕过;放客户端验证只能防误操作
6、正向锁定--登录次数锁定(固定用户遍历密码尝试),如果限制了次数,可尝试反向:
反向锁定--限制IP或mac登录次数(遍历用户密码固定)
7、案例:
本地生成
反向暴力破解
短信炸弹
验证码未一次失效
