登录认证漏洞实战总结(一)
一般存在于系统登录或注册页面,利用登录系统中的漏洞可以试验出是否存在的哪些用户名,返回不同的出错信息可枚举出系统中存在的用户名。
示例:注册页面漏洞
以注册页面为例,通过手工输入账号查看回显信息。输入admin用户,提示用户名已被占用。
查看数据包,如果存在该用户名则返回0,如果不存在则返回1。
将数据包发送到暴力破解模块导入字典,设置响应内容。
得出3个用户。
修复建议:
- 对系统登录失败提示语句表达内容进行统一的模糊描述,如用户名或密码错误。
- 针对用户批量注册漏洞,增强验证码机制,限制一定时间内IP登录失败次数。
用户批量注册漏洞
漏洞危害描述:
攻击者通过批量注册用户可实施大规模非法操作,如抢优惠券、恶意刷单等,给服务商造成经济损失。
修复建议:
- 增强验证码机制,适当增加验证码生成强度。
- 限制一定时间内IP登录失败次数。
验证码可绕过漏洞
常见的验证方式包括字符验证码、滑动验证和点击验证等。若验证码仅在前端验证,可被后端绕过。
修复方案:
- 增加验证码强度。
- 不使用前端验证,将验证码在后端进行验证。
- 提高密码强度,增加密码加密算法。
爆破加密口令漏洞
漏洞描述:
认证过程中传输的口令未加密或过于简单。
修复方案:
- 传输过程中使用加密方式,如使用HTTPS。
- 在不使用HTTPS的情况下,可在网站前端使用Javascript进行非对称密码加密。
AES对称加密漏洞
漏洞描述:
使用了AES对称加密,但密钥和偏移量可见,可被攻击者逆向推导。
修复方案:
- 使用HTTPS传输数据,加密方式传输。
- 前端使用Javascript进行非对称密码加密。
通过修复这些漏洞,能够有效提升系统的登录认证安全性。
© 版权声明
THE END
暂无评论内容