这有个模拟黑客攻击在线银行的实验,你来扮演一下黑客试试?
发布时间:2022-11-28 14:54:51 所属栏目:Asp教程 来源:
导读: 在线银行通常会使用多级登录这样的强身份认证机制。当通过了用户名和密码验证后,接下来会询问你的交易验证码(Transaction Authentication Number,TAN)。你会事先从银行那里得到一个交易验证码列表,这个交易
|
在线银行通常会使用多级登录这样的强身份认证机制。当通过了用户名和密码验证后,接下来会询问你的交易验证码(Transaction Authentication Number,TAN)。你会事先从银行那里得到一个交易验证码列表,这个交易验证码列表是银行专门为你生成的,每个交易验证码只能使用一次。还有另外一种较安全的方式,即通过手机短信得到交易验证码,这样的好处是,使黑客不能轻易得到你的交易验证码。 来看下面的一个简单实验,最后思考一下漏洞是出在哪。 你是一名叫Joe的黑客,你有一个名叫webgoat的有效的银行账号。 你的用户名是Joe,密码是banana。你的TANS(交易验证码)如下: Tan #1 = 15161 Tan #2 = 4894 Tan #3 = 18794 Tan #4 = 1564 Tan #5 = 45751 你的目标是找到并利用实验系统的安全漏洞asp验证码,使用其他人的账号,一个名为Jane的用户账号登录系统。 下面开始实验吧,实验环境说明参见:Web安全漏洞实验平台Webgoat学习(1):怎么用? 实验页面如下,我们先用自己的用户名Joe和密码banana登录,来看一下正常的登录流程。 用户名和密码验证通过后,提示输入交易验证码。 在列表中找到对应的交易验证输入并提交。登录成功,显示用户Joe的银行账号信息。 上面就是完整的用户登录流程。 下面开始攻击吧。你的目标是找到并利用实验系统的安全漏洞,使用其他人的账号,一个名为Jane的用户账号登录系统。 实验步骤如下:(建议先不要看下面的内容,先自己尝试寻找漏洞并完成实验) 仍然使用自己的用户名Joe和密码banana正常登录,当用户名和密码验证通过后,在提示输入交易验证码的页面时,输入交易验证码列表中对应的交易验证码,如TAN #3为18794,在点Submit按钮前,使用OWASP ZAP代理拦截HTTP请求,修改hidden_user的值为Jane 点ZAP工具栏上的继续按钮,回到实验页面,发现此时显示的是Jane用户的银行账号信息了,实验完成。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
浙公网安备 33038102331048号