渗透测试中登录界面常见的几种方法总结！网络安全线下培训

老男孩IT教育

行业新闻

2021年11月16日 15:03

我们在进行渗透测试的时候，往往会遇到许多网页，有的网站仅仅靠一个登录接口实现，在进行渗透测试的时候，客户可能会只给你一个网站页面，不会告诉你账号和密码，在前期经验不足的时候，可能会无从下手，那今天总结一下方法，请看下文：

我们在进行渗透测试的时候，往往会遇到许多网页，有的网站仅仅靠一个登录接口实现，在进行渗透测试的时候，客户可能会只给你一个网站页面，不会告诉你账号和密码，在前期经验不足的时候，可能会无从下手，那今天总结一下方法，请看下文：

网络安全面授班

1、万能密码绕过

如果我们能直接绕过登录功能从而直接访问系统内部资源，那自然是最好的了，万能密码就是最好用的方法之一，存在的可能性不大，稍微尝试一下也不会浪费太多时间，常见的万能密码比如'or 1=1 –"or "a"="a，万能密码在网上非常多，随便搜一下就可以，幸运的话一次就可以直接访问后台。

2、登录口SQL注入

有的系统在登录口就存在SQL注入，目前比较常见的是Oracle以及MYSQL的注入，可以在登录处先抓一个包，然后根据抓包信息来构造Payload，有的时候我们需要在Burp里修改一下发包格式，才能成功注入。

3、明文传输

属于渗透测试中，最常见的一种漏洞，严格来讲，并不能算得上是一种漏洞，只能说是一个不足之处而已，明文传输在网站上随处可见，除了银行网站，很有可能每个密码都是经过特殊加密后在进行传输的。

4、用户名可枚举

此漏洞之所以存在，是因为页面对所输入的账号密码进行的判断所回显的数据不一样，我们可以通过这点来进行用户名的枚举，然后通过枚举后的账户名来进行弱口令的爆破，防御手段的话，仅需要将用户名和密码出错的回显变成一样的即可。

关于"渗透测试中登录界面常见的几种方法总结！"的话题到这里就结束了，学网络安全，认准老男孩教育。我们这不仅有专业的网络安全培训课程，还有经验丰富的老师，可以针对不同基础情况的学员制定相应的学习模式，而且免费试听。

　　推荐阅读：

对于云安全有哪些常见的误区？老男孩网络安全脱产班

本文经授权发布，不代表老男孩教育立场。如若转载请联系原作者。

扫码加入新媒体运营学院讨论学习群