身份驗證是一個安全機制，旨在確保只有合法的使用者能夠訪問應用程式的受保護資源。當身份驗證機制實施不當時，它可能會暴露於各種安全風險，從而允許惡意使用者繞過這些機制。這些被稱為身份驗證漏洞。

登入漏洞

當網站採用基於密碼的登入流程時，使用者要嘛自行註冊帳戶，要嘛由管理員分配帳戶。這個帳戶與唯一的使用者名稱和密碼相關聯，使用者在登入表單中輸入這些資訊來認證自己。

在這種情境下，僅僅知道密碼就被視為足夠的證明該使用者的身份。因此，如果攻擊者能夠獲得或猜測另一個使用者的登入憑證，網站的安全性就可能受到威脅。

Lab time

先嘗試登入看看

打開intruder把題目給我們的用戶名稱跟密碼丟進去跑

找到長度不一樣的看看，就可以找到 Username 跟 Passwprd

完成

多因子認證中的漏洞

許多網站僅依賴單因子認證，使用密碼對使用者進行認證。但有些則要求使用者使用多種認證因子來證明其身份。

雖然雙因子認證比單因子認證更安全，但像所有安全措施一樣，其安全性取決於其實現方式。不當的雙因子認證實現也可能被攻擊者突破。

驗證碼通常由用戶從某種物理設備上讀取。現在，許多高安全性的網站為此目的為使用者提供了專用的設備，如RSA令牌或金鑰板裝置。除了專為安全而設計外，這些專用設備還具有直接生成驗證碼的優點。

Lab time

先用Your credentials登入且做驗證馬驗證看看

後來發現如果直接打 my-account 會如何

過了