欲知问题答案,请访问http://mdsec.net/wahh。
(1)何为强制浏览?可以通过它确定哪些漏洞?
(2)为防止不同类型的攻击,应用程序对用户输入实施各种全局过滤。为防止SQL注入,它将出现在用户输入中的单引号配对。为防止针对一些本地代码组件的缓冲区溢出攻击,它将超长的数据截短到适当的长度。这些过滤有什么问题?
(3)可以采取哪些步骤来探查某登录功能中是否存在故障开放条件?(列出想到的各种不同的测试。)
(4)某银行应用程序采用一种非常安全可靠的多阶段登录机制。在第一个阶段,用户输入用户名和密码。在第二个阶段,用户输入在物理令牌上显示的一个不断变化的值,并通过一个隐藏表单字段重新提交前面输入的用户名。
可以立即发现的逻辑缺陷有哪些?
(5)在通过提交专门设计的输入探查一个应用程序中是否存在常见的漏洞时,应用程序频繁返回包含调试信息的详细错误消息。有时,这些消息与其他用户造成的错误有关。这种情况后,就无法令其再次发生。这表示应用程序存在什么逻辑缺陷,接下来该如何处理?