HTB toxic
用任意檔案讀取漏洞存取系統日志,在利用任意代碼執行漏洞在日志內產生指令讓系統執行
使用者名稱列舉Username enumeration是指攻擊者能夠觀察網站行為的變化,以確定給定的使用者名稱是否有效。在嘗試暴力破解登入頁面時,需特別注意以下方面的任何差異
許多網站要求使用者使用2FA( multi-factor authentication,雙因子認證)來證明身份。能同時取得密碼與外部來源的驗證碼的可能性極低,因此2FA顯然比單因子身份驗證更安全。但是,如果2FA設計不良,就可以利用缺陷繞過這種認證機制。