1、登录页面通过查看页面的JS来确定登录验证是否正确,这样可以发现安全性的问题。
[步骤]
1.打开系统登陆界面
2.输入用户名,密码,输入验证码。
3.按TAB键,使页面焦点跳转到登陆按钮。
4.按ENTER键,此时页面刷新,并没有登陆系统,此时页面只保留了用户名,其它文本输入框被清空。
5.输入一个不正确的admin用户密码,输入验证码。
6.按ENTER键进行登陆操作。
[原因]
1.按ENTER键的时候,JS验证后又调用了LOGIN()验证,相当于登录了2次,而第二次登录的时候session记住了第一次登录的信息,导致第二次无论用什么密码都能登录进去。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
