WEB应用安全技术深度报告.docVIP

WEB应用安全技术深度报告 组长：张申易 学号：1120122192 组员：无 目录 身份验证2 实验12 实验22 实验35 实验47 会话管理9 访问控制10 身份验证 实验1 打开虾米音乐网，使用快捷登录中的用qq账号登录，登录后在工具中发现如下信息。 openid=29E9889727E8DEC1188593C 我的qq号是297859759，很明显openid里包含了这些数字。通过这种方式可以很容易获得某用户的openid进而获得qq号，知道了qq号就可以很容易破解出密码，进而登录使用这个openid的用户的所有账户。 实验2 在数年前，各大论坛没有通过手机号或个人邮箱登录的功能，尤其是百度贴吧的账户，是以用户名登录。而且百度贴吧的用户名是不能改的，这就导致现在百度贴吧的很多用户还是以用户名登录，那么我知道某个人的用户名，使用暴力猜解的方式就可以登录这个人的账户。 使用暴力猜解法尝试破解“竞技游戏吧直播”的账户 尝试密码jjyxbzb 尝试密码zhibo 仍然失败。 虽然失败但很显然只要尝试的次数够多还是很容易破解的。 此外我还发现在百度中登录