读《黑客攻防技术宝典-WEB实战篇》

第6章：攻击验证机制

6.2：验证机制设计缺陷

6.2.1：密码保密性不强

弱密码，web应用并未对用户自定义的密码进行约束。

6.2.2：蛮力攻击登录

暴力破解，应用程序允许攻击者无阻力地不断尝试错误密码，直到猜对，不采取阻拦。

6.2.3：详细的失败消息

类似于登录失败后显示的“用户不存在”和“密码错误”，这样会帮助攻击者确定username和password的一项（基本上是username），从而专攻password，并且通过暴力获取大量用户名。登录失败返回的页面效果可能一样，但html源码可能有所不同。

6.2.4：证书传输易受攻击

to be continued