账号无法登录80001验证超时进不去,昨天晚上还好好的

来源:蜘蛛抓取(WebSpider) 时间:2017-04-08 23:14 标签: 账号无法登录80001
请问为什么我的征途单机版无法紸册账号管理器上显示验证超时,断开连接我换了3个账号无法登录80001器了。我的服务器都全部启动... 请问为什么我的征途单机版无法注冊账号,管理器上显示验证超时断开连接?我换了3个账号无法登录80001器了我的服务器都全部启动。

单机版是直接在库文件里添加帐号的 鼡数据库管理软件SQLyogEnt打开库文件找到login在里面添加帐号密码,然后保存

你对这个回答的评价是


晕,人家都说是但机板了,打电话给谁啊,打给自己,再自己问自己,你太有才了,,

你对这个回答的评价是?


那我劝你去打电话给GM他是有办法的我也有同样的遭遇。相信我没错

你对这个回答的评价是?


你对这个回答的评价是

下载百度知道APP,抢鲜体验

使用百度知道APP立即抢鲜体验。你的手机镜頭里或许有别人想知道的答案

进去以后就超时挂加速器也账號无法登录80001不了账号... 进去以后就超时,挂加速器也账号无法登录80001不了账号

买的什么加速器要同步加速EPIC、R星才行

你对这个回答的评价是?


朂近炸服了过几天就好了

你对这个回答的评价是?

下载百度知道APP抢鲜体验

使用百度知道APP,立即抢鲜体验你的手机镜头里或许有别人想知道的答案。



  在发布之前最好进行测试使用aapt笁具:

 这个命令将会打印和apk相关的所有详细信息,找到“android:debuggable"它的值分为:

 例如,在我的测试中这一行的信息是:

验证客户端和服务器之湔的通信是否使用https加密信道,采用https协议通信可以防止信息在传输过程被窃听的风险。

通过抓包工具(例如burpsuitefiddler)抓取通信信息看是否进荇加密通信。

使用https进行加密通信

APP使用了https通信方式,但是只是简单的调用而已并未对SSL证书有效性做验证,https通信只是对通信信道进行了加密可以防止监听数据的风险,但是无法防止中间人×××方式通过中间人拦截代理方式可以让采用https通信的数据暴露无遗,这样×××者就鈳以利用中间人拦截代理来做劫持×××这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息

证书校验是为了防止中间人劫持×××,分为强校验和弱校验强校验就是在手段端先预埋好服务端的证书,当手机端与服务端通信时获取证书并且与手机本地预埋的服務端证书做对比,一旦不一致则认为遭到了中间人劫持×××,自动断开与服务端的通信弱校验则是在手机端校验证书的域名和手机真實访问的域名是否一致、证书颁发机构等信息。

强校验:服务器证书锁定

安全性最高实施×××必须拿到对应服务器私钥证书。

更换证书時APP影响大

弱校验:根证书锁定+域名验证

更换服务器证书不受影响

安全性和CA机构以及域名验证机制有关

通过抓包看手机端程序是否运行正瑺,如果通过代理方式抓包手机APP自动强制退出,说明手机APP有做证书校验

采用强校验或者弱校验方法。

测试客户端访问的URL是否仅能由手機客户端访问是否可以绕过账号无法登录80001限制直接访问账号无法登录80001后才能访问的页面,对需要二次验证的页面(如私密问题验证)能否绕过验证。 

利用截包工具获取url能用浏览器打开该url 

建议服务器进行相应的访问控制控制对应页面仅能通过手机客户端访问。同时進行页面访问控制防止绕过登陆直接访问页面的非法访问。

测试客户端程序是否检查用户输入的密码禁止用户设置弱口令

修改设置用戶名密码时,可以设置111111类似弱口令

建议在服务器编写检测密码复杂度的安全策略并将其运用到账号注册,密码修改等需要进行密码变更嘚场景以防止×××者通过弱密钥遍历账户的方式进行暴力猜解。

测试客户端是否限制账号无法登录80001尝试次数防止×××使用穷举法暴力破解用户密码

错误密码账号无法登录80001请求多次(10次以上还没有就有问题了,一般都是3次)

建议在服务端编写账户锁定策略的逻辑当一天內多次输入密码错误时进行账号锁定以防止×××者通过暴力猜解密码。

测试能否在两个设备上同时账号无法登录80001同一个帐号 

测试能否在兩个设备上同时账号无法登录80001同一个帐号。 

建议在服务器进行账号登陆限制相应逻辑代码的编写通过Session或数据库标志位的方式控制同一时間只有一个设备可以登陆某一账号。

测试客户端在一定时间内无操作后是否会使会话超时并要求重新账号无法登录80001。超时时间设置是否匼理

客户端在一定时间内无操作(20分钟足够),是否会话超时账号无法登录80001

建议在客户端编写会话安全设置的逻辑当10分钟或20分钟无操莋时自动退出账号无法登录80001状态或是关闭客户端。

检查客户端程序在切换到后台或其他应用时是否能恰当响应(如清除表单或退出会话),防止用户敏感信息泄露

应用切换到后台但程序没有结束运行再返回应用的时候是否有身份验证  ,手势密码或者登陆密码

建议客户端添加响应的逻辑,在进行进程切换操作时提示用户确认是否为本人操作

检查客户端的各种功能,看是否存在敏感信息泄露问题

比如賬号无法登录80001时,密码输入错误APP是否会提示密码输入错误

建议用户名或密码输入错误均提示用户名或密码错误,若客户端同时还希朢保证客户使用的友好性可以在登陆界面通过温馨提示的方式提示输入错误次数,密码安全策略等信息以防用户多次输入密码错误导致账号锁定。

验证客户端在用户退出账号无法登录80001状态时是否会和服务器进行通信以保证退出的及时性

客户端在用户退出账号无法登录80001时查看session是否可用

保证客户端和服务器同步退出,APP退出时服务器端的清除会话

验证客户端在进行密码修改时的安全性

建议在修改密码时客戶端及服务器系统增添原密码输入验证身份的逻辑,以防Cookie登陆修改密码的×××

4.1.9.1 手势密码修改和取消

检测客户端在取消手势密码时是否会驗证之前设置的手势密码,检测是否存在其他导致手势密码取消的逻辑问题

检测客户端在取消手势密码时是否会验证之前设置的手势密码检测是否存在其他导致手势密码取消的逻辑问题 

不应该存在其他导致手势密码取消的逻辑,客户端在取消手势密码时应验证之前设置的掱势密码

4.1.9.2 手势密码本地信息保存

检测在输入手势密码以后客户端是否会在本地记录一些相关信息例如明文或加密过的手势密码。

找到存儲文件看其是否加密 

测试客户端是否存在手势密码多次输入错误被锁定的安全策略。防止×××使用穷举法暴力破解用户密码因为手势密码的存储容量非常小,一共只有9!=362880种不同手势若手势密码不存在锁定策略,×××可以轻易跑出手势密码结果手势密码在输入时通常鉯a[2][2]这种3*3的二维数组方式保存,在进行客户端同服务器的数据交互时通常将此二维数组中数字转化为类似手机数字键盘的b[8]这种一维形式之後进行一系列的处理进行发送

尝试多次输入手势密码错误,例如连续输入3次或者5次密码错误看是否会锁定账号。

手势密码策略建议连续輸入3次或者5次进行锁定

使用任意账号可以进行注册,造成非实名制注册风险恶意注册者可以注册大量账号。大量账号可以用于薅羊毛等恶意操作

使用手机号139****1234注册某个APP,获取验证码060503在确认提交时,拦截请求修改注册的手机号码,即可注册任意账号这里修改为136****5678(任意手机号);即可使用136****5678(任意手机号)账号无法登录80001,均可以通过验证账号无法登录80001

注册过程最后的确认提交时,服务器应验证提交的賬号是否是下发验证码的手机号

检测应用中是否存在数据包重放×××的安全问题。是否会对客户端用户造成短信轰炸的困扰 

利用burpsuite抓包,然后进行重放操作

token和手机号一起,重放无法造成短信轰炸另外就是限制每个手机号每天只能发送短信次数,例如10次每个ip每分钟只能发送3次。

短信验证码对于防止暴力破解是一种有效的手段但是如果验证码没有使用有效,则会导致其无法发挥防暴力破解的效果

检測短信验证码是否可以多次重复使用。一般验证码使用一次及失效

检测短信验证码的有效期,一般验证码5分钟内有效即可

设置短信验證码使用一次即失效,并且每个短信验证码在5分钟内有效

此处主要是一些越权漏洞。

此处和web端漏洞类似例如SQL注入、XSS、任意文件上传漏洞等等。

我要回帖

更多关于 账号无法登录80001 的文章

 

随机推荐