WEB应用安全技术深度报告

WEB应用安全技术深度报告

组长：张申易学号：1120122192

组员：无

目录

一、身份验证 (2)

实验1 (2)

实验2 (2)

实验3 (5)

实验4 (7)

二、会话管理 (9)

三、访问控制 (10)

一、身份验证

实验1

打开虾米音乐网，使用快捷登录中的用qq账号登录，登录后在工具中发现如下信息。

openid=29E9889727E8DEC1188593CB75782659;

我的qq号是297859759，很明显openid里包含了这些数字。通过这种方式可以很容易获得某用户的openid进而获得qq号，知道了qq号就可以很容易破解出

密码，进而登录使用这个openid的用户的所有账户。

实验2

在数年前，各大论坛没有通过手机号或个人邮箱登录的功能，尤其是百度贴吧的账户，是以用户名登录。而且百度贴吧的用户名是不能改的，这就导致现在百度贴吧的很多用户还是以用户名登录，那么我知道某个人的用户名，使用暴力猜解的方式就可以登录这个人的账户。

使用暴力猜解法尝试破解“竞技游戏吧直播”的账户

尝试密码jjyxbzb

尝试密码zhibo

虽然失败但很显然只要尝试的次数够多还是很容易破解的。

此外我还发现在百度中登录时，账号错误和密码错误提示的信息是不同的。

尝试登录一个明显没人取的id：

发现提示的信息是“您输入的账号不存在”，而之前密码错误的情况下提示是“您输入的账号或密码有误”。根据这个规律很容易就能判断某个用户名是否存在。

实验3

使用工具尝试破解竞技游戏直播的密码

点击忘记密码

这里发现会出现一个跟这个账户有关的邮箱15..5@，为找到跟这个邮箱的具体地址,尝试使用burpsuite进行拦截。

先回到上一步

再配置好代理服务器，之后将intercept调成on开始拦截。

发现无法显示此网页

拦截宣告失败。

实验4

判断凭证确认是否完善

判断一个网站（）的验证机制有没有对密码进行截断先给我的密码增加一位

登录失败

再减少最后一位我的密码继续尝试登录

还是登录失败

判断一个网站的验证机制有没有对密码的大小写进行检查

将我密码全改为小写字母尝试登录

仍然登录失败

判断一个网站的验证机制有没有删除密码的不常用字符

向我的密码中增加&这一字符

仍然显示登录失败

结论:

的验证机制对大小写的检查是合格的，但是到底有没有截断密码来验证还是未知的，因为进行试验时我的密码只有8位，这个网站完全有可能截断前10位。还要进行进一步的试验。

二、会话管理

登录百度时发现了加密后的sessionid（使用fiddler的textview）

三、访问控制

判断登出极速论坛后能否通过url访问某需要权限才能访问的页面

输入

/bbs/forum.php?mod=viewthread&tid=404747&extra=page%3D1 （该url由一个极速论坛权限比我高的同学提供）

答案是否定的

判断登出极速论坛后能否通过url下载某种子文件

登录极速，找到一个种子的url

登出，输入该url，成功的下载了该种子文件。说明极速的下载做的还不够安全。