会话管理：

会话ID嵌入URL

(会话ID由referer信息头泄露，造成伪装攻击)

无session验证

（越权）

会话未清除

（窃取cookie 先退出关闭会话）

Cookie secure

(cookie会通过窃听而失窃)

Session fixation

(会话固定攻击)

使用firebug查看cookie属性

登录前后sessionid未发生变化并且拼接在url中

错误的会话管理之防御：

会话ID嵌入url   会话ID保存在cookie中

无session验证  所有访问都要在会话中

会话未清除   注销，关闭浏览器超时清除会话

session fixation 认证之后要修改sessionid

重放攻击

两种 报文重放和cookie重放

cookie重放：

设置一个有效的sessionid就可以登录

防御：

新鲜性：一次失效的随机数保证url或者报文的新鲜性

时间戳：系统保持始终同步，设置一个合理的时间窗

暴力破解：

正向和反向破解

正向破解是一个账号使用多个密码来破解，过程可能会被系统锁定

反向破解是已知五次密码错误就锁定，我用四个密码去破解多个账号

验证码：

随机性不足  未一次失效

复杂度不足 校验码未刷新

本地生成(在html或者js中生成验证码)

 图形识别工作识别

异步提交(先校验验证码在校验密码，当验证码校验成功bp抓包直接破解密码就不用理会验证码)

未有失效时间

短信炸弹

账号枚举：

错误提示只显示用户名错误，可以指定账户

密码复杂校验

锁定：

正向锁定：一个用户匹配N个密码

反向锁定：一个密码匹配N个用户

防御：

保证验证码的随机性

失效时间

密码验证码一起提交，防止异步

一次失效

禁止本地生成

删除验证码后门(000永远都有效)

限制短信的频率

会话清除：注销会话、关闭浏览器清除、超时清除会话固定攻击：登录前和登录后的session id没有改变，

重放攻击

客户端点击后，框架返回的URL携带生成的一个随机数，并且将随机数返回给业务系统，系统检查随机数是否一致，且只生效一次

反向暴力破解

若系统出现5次密码失效，则设置4次密码，无限匹配用户名

复杂度不足，短信验证码只有4次

验证码本地生成较少，短信较多，有客户端生成

被图形工具识别，北京为春色的验证码

异步提交：先提交验证码，在提交用户名/密码

短信炸弹：点击一个按钮不断发短信，使用burpreaperter

账号枚举：有admin用户，无root用户

密码复杂度校验要放在服务端

验证码未一次失效，上一次验证码仍有效

密码复杂度校验在客户端校验可以使用burp绕过