这有个模拟黑客攻击在线银行的实验，你来扮演一下黑客试试？

在线银行通常会使用多级登录这样的强身份认证机制。当通过了用户名和密码验证后，接下来会询问你的交易验证码（Transaction Authentication Number，TAN）。你会事先从银行那里得到一个交易验证码列表，这个交易验证码列表是银行专门为你生成的，每个交易验证码只能使用一次。还有另外一种较安全的方式，即通过手机短信得到交易验证码，这样的好处是，使黑客不能轻易得到你的交易验证码。

来看下面的一个简单实验，最后思考一下漏洞是出在哪。

你是一名叫Joe的黑客，你有一个名叫webgoat的有效的银行账号。

你的用户名是Joe，密码是banana。你的TANS（交易验证码）如下：

Tan #1 = 15161

Tan #2 = 4894

Tan #3 = 18794

Tan #4 = 1564

Tan #5 = 45751

你的目标是找到并利用实验系统的安全漏洞asp验证码，使用其他人的账号，一个名为Jane的用户账号登录系统。

下面开始实验吧，实验环境说明参见：Web安全漏洞实验平台Webgoat学习(1)：怎么用？

实验页面如下，我们先用自己的用户名Joe和密码banana登录，来看一下正常的登录流程。

用户名和密码验证通过后，提示输入交易验证码。

在列表中找到对应的交易验证输入并提交。登录成功，显示用户Joe的银行账号信息。

上面就是完整的用户登录流程。

下面开始攻击吧。你的目标是找到并利用实验系统的安全漏洞，使用其他人的账号，一个名为Jane的用户账号登录系统。

实验步骤如下：（建议先不要看下面的内容，先自己尝试寻找漏洞并完成实验）

仍然使用自己的用户名Joe和密码banana正常登录，当用户名和密码验证通过后，在提示输入交易验证码的页面时，输入交易验证码列表中对应的交易验证码，如TAN #3为18794，在点Submit按钮前，使用OWASP ZAP代理拦截HTTP请求，修改hidden_user的值为Jane

点ZAP工具栏上的继续按钮，回到实验页面，发现此时显示的是Jane用户的银行账号信息了，实验完成。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!