WEB应用安全技术深度报告

1WEB应用安全技术深度报告组长：张申易学号：1120122192组员：无目录一、身份验证..........................................................................................................2实验1.................................................................................................................2实验2.................................................................................................................2实验3.................................................................................................................5实验4.................................................................................................................7二、会话管理..........................................................................................................9三、访问控制..........................................................................................................102一、身份验证实验1打开虾米音乐网，使用快捷登录中的用qq账号登录，登录后在工具中发现如下信息。openid=29E9889727E8DEC1188593CB75782659;我的qq号是297859759，很明显openid里包含了这些数字。通过这种方式可以很容易获得某用户的openid进而获得qq号，知道了qq号就可以很容易破解出3密码，进而登录使用这个openid的用户的所有账户。实验2在数年前，各大论坛没有通过手机号或个人邮箱登录的功能，尤其是百度贴吧的账户，是以用户名登录。而且百度贴吧的用户名是不能改的，这就导致现在百度贴吧的很多用户还是以用户名登录，那么我知道某个人的用户名，使用暴力猜解的方式就可以登录这个人的账户。使用暴力猜解法尝试破解“竞技游戏吧直播”的账户尝试密码jjyxbzb4尝试密码zhibo仍然失败。虽然失败但很显然只要尝试的次数够多还是很容易破解的。此外我还发现在百度中登录时，账号错误和密码错误提示的信息是不同的。5尝试登录一个明显没人取的id：发现提示的信息是“您输入的账号不存在”，而之前密码错误的情况下提示是“您输入的账号或密码有误”。根据这个规律很容易就能判断某个用户名是否存在。实验3使用工具尝试破解竞技游戏直播的密码点击忘记密码67这里发现会出现一个跟这个账户有关的邮箱15..5@qq.com，为找到跟这个邮箱的具体地址,尝试使用burpsuite进行拦截。先回到上一步再配置好代理服务器，之后将intercept调成on开始拦截。8发现无法显示此网页拦截宣告失败。实验4判断凭证确认是否完善9判断一个网站（）的验证机制有没有对密码进行截断先给我的密码增加一位登录失败再减少最后一位我的密码继续尝试登录还是登录失败10判断一个网站的验证机制有没有对密码的大小写进行检查将我密码全改为小写字母尝试登录仍然登录失败判断一个网站的验证机制有没有删除密码的不常用字符向我的密码中增加&这一字符仍然显示登录失败结论:的验证机制对大小写的检查是合格的，但是到底有没有截断密码来验证还是未知的，因为进行试验时我的密码只有8位，这个网站完全有可能截断前10位。还要进行进一步的试验。二、会话管理登录百度时发现了加密后的sessionid（使用fiddler的textview）11三、访问控制判断登出极速论坛后能否通过url访问某需要权限才能访问的页面输入=viewthread&tid=404747&extra=page%3D1（该url由一个极速论坛权限比我高的同学提供）答案是否定的判断登出极速论坛后能否通过url下载某种子文件12登录极速，找到一个种子的url登出，输入该url，成功的下载了该种子文件。说明极速的下载做的还不够安全。