2021-06-14 阅读(451)

所以说咱们先试优惠券能不能正常用正常使用，我给它划分出来几条，对吧？优惠券能否正常使用。我要这么写的话太多，你知道吧？我先说吧好吧？我先说你们先听好不好？要不然话...

2021-06-13 阅读(719)

可以通过篡改用户名或身份证、暴力解读验证码等方法修改/重置任意账户的密码。测试方法: 修改密码的步骤一般是检查用户的原始密码是否正确，然后让用户输入新密码。修改密码机...

2021-06-13 阅读(428)

SQL注入通常是指将SQL命令插进Web报表递交或输入域名或页面请求的查询字符串，最终实现欺骗服务器恶意的SQL命令。总的来看，运用现有的应用程序，将(恶意)SQL命令注入后台数据库引...

2021-06-13 阅读(283)

跨站脚本攻击的英文全称CporSSSateScript，为了更好地区分样式表，缩写为XSS。原因是网站将客户键入的内容输出到页面，在此过程中可能会有恶意代码被浏览器执行。跨站脚本攻击是指恶...

2021-06-13 阅读(990)

恶意锁定问题，漏洞的说明:不断输入错误的密码，可以恶意锁定任何帐户。测试方法:对于测试账户，不断输入错误的密码，直到锁定为止。风险分析:如果系统认证功能没有自动化处理...

2021-06-12 阅读(765)

有些网站是用手机短信登录的，短信验证码可以绕过，开展别的操作。检验方法：一、请求发送一条短信，填写一个验证码，然后提交另一个操作请求，验证码的参数是空的，或者是删...

2021-06-12 阅读(963)

一些网站登录框中存在图形认证代码，防止暴力破解攻击，但正常逻辑是在前端输入认证代码后进行认证图形认证代码的正确性，如果是真的，则进行登录操作，如果是假的，则返回认...

2021-06-12 阅读(389)

“暴力破解”的基本思想是，根据问题的一部分条件，来明确答案的大致范围，并在此范围内逐个验证所有可能的情况，直至全部情况验证完毕。当某一情形符合问题全部条件时，为本...

2021-06-11 阅读(1242)

登录认证绕过漏洞的说明:可以绕开应用认证，直接登录系统。测试方法:绕过认证主要有几种方法： 1.网络嗅觉。通过网络嗅觉软件检测局域网传输的明确用户名和密码。一些应用程序...

2021-03-10 阅读(244)

当您进行代码审计(CodeReview,RV)时，您一定会联想到：为什么每次都要人工审计？这种机器是否能够代替人工完成这项工作？通过调查研究，得出以下结论：现在机器不能完全替代人工，...