内容简介：

1.概述
认证绕过漏洞是现在 Web 应用中存在的常见缺陷，但它们并不总是那么容易被发现。
随着技术的不断发展，各式各样的平台整合，传统的身份验证方法正在逐渐减少，新的验证方式不仅为用户使用提供了便捷，安全性也上升了一个台阶。虽然像利用单点登录(SSO)这样的方式对旧的用户登录方式进行改进，但是这些技术仍然可能包含关键的漏洞。无论是业务逻辑错误还是其他一些缺陷配置，那么如何发现这些脆弱点呢？
2.思路
2.1.令牌刷新端的错误配置
在这种情况下，用户使用有效凭据登录到应用程序，就会创建身份验证令牌进行身份验证。而此身份验证令牌在一段时间后过会过期。就在过期之前的这段时间内，通过 endpoi...

查看原文

? 绕过认证的五种方式