这节课是这两个内容,登录的内容会讲不完,会有一小点部分,在别的课将,
#登录应用功能点产生的安全问题
只要有登录功能都可以检测(排除之前讲过的)
1.登陆点的暴力破口(很好理解
2.http/https传输,这个两个网站协议,对于登录点有不一样的地方
3.cookie脆弱点验证,如果是cookie验证,在验证方面有些问题就可以尝试
4.session型验证固定点测试,
5.验证密文比对安全测试,
先来看一下第一点,关于http/https协议密文抓取,
老师先用正常的http的网站演示
老师自己博客后台登陆得地方
这个网站使用http搭建的,可以看一下网站的前缀
这里在网上随便打开一个http的登陆网站,随便输入个账户密码看一下它发出的数据包
再找一个https的网站,抓一下数据包看看是什么样子的,
一般的话,http的网页明文传输,https会用密文,但是这不是绝对的,
