SRC绕过登录页面的七种常见方法

主要观点总结

文章介绍了绕过SQL注入、跨站点脚本（XSS）、响应返回包操作、爆破攻击限制、目录模糊攻击、默认凭据绕过和删除请求中的参数等七种常见攻击方式，并以Mutillidae为例演示了如何绕过SQL注入。

关键观点总结

关键观点1: 绕过SQL注入

通过输入特定的SQL注入payload，如“ ' or 1=1--”，来尝试绕过SQL注入。当管理员身份登录无效时，尝试其他payload并使用SQLMap工具来dump用户名和密码。

关键观点2: 跨站点脚本（XSS）攻击

通过输入XSS payload，如alert(1)，来触发弹出窗口。这可用于尝试CSRF攻击并获取受害者凭据。

关键观点3: 操纵响应返回包

基于Response Status代码操作和Response Body操作来绕过安全机制。通过观察和分析响应，找到可能的漏洞。

关键观点4: 绕过爆破攻击限制

在站点没有设置时间限制和重复次数限制的情况下，通过反复尝试不同的凭据来绕过爆破攻击限制。

关键观点5: 绕过目录模糊攻击

使用工具如FFUF、dirbuster和burp suite intruder等进行目录暴力破解，寻找显示有用响应的任何目录或子目录。

关键观点6: 默认凭据绕过

利用开发人员创建的默认凭据，如admin:admin、admin:password等，尝试登录站点。这些默认凭据可能没有被正确删除或处理。

关键观点7: 删除请求中的参数

当输入错误的凭据时，通过删除请求中的某些参数（如密码参数），尝试绕过认证机制。当服务器未能正确分析请求时，这种方法可能有效。