我是web虚拟交易平台开发者,近段时间出现好几起账户资金被盗的案件,程序没有查到明显的漏洞,备感疑惑;攻击者盗取了用户的账号密码,甚至支付密码!试问盗号除开木马植入、抓包解析鉴权机制,还有什么比较高明的方式?如能协助发现问题,不胜感激!
常见的有:
1. SQL注入
2. XSS 攻击
3. 其他可能还有使用程序大量尝试破解密码等等。
我有在相关的漏洞平台提交过这种响应的漏洞,有挖掘过,这种问题的原因之一是前端代码的逻辑,很容易被攻击者利用,如sql注入万能钥匙直接进入,也有可能你的账号密码是明文传输,攻击者可以通过抓包,对密码进行一个暴破,xss漏洞被利用的概率不高,因为他的触发条件比较苛刻,只需对用户的输入进行严格的过滤就问题不大,但是xss仍具有威胁,不可忽视。