许多时候你发现自己碰了壁,而门就在拐角处。这种想法与攻击Web验证相似。正如本章开头我们所说,许多应用意识到验证在应用安全中的重要作用,因此,它们实施了非常强大的协议。在这种情况下,直接攻击协议本身可能不是攻击验证的最简方法。
攻击应用的其他组件,例如劫持或者假造现有的已验证会话,或者攻击身份管理子系统本身,可能可以组合起来绕过验证。在本小节中,我们将讨论一些常见的完全绕过验证的攻击。