返回
頂部
頂部
一.1.1 暴力破解
問題描述:經(jīng)測試發(fā)現(xiàn),網(wǎng)站前臺登陸處未對登陸失敗次數(shù)進行限制,導(dǎo)致可進行暴力破解進行賬號及口令猜測。
受影響的URL:/industry
驗證過程:
1 未限制登錄次數(shù)導(dǎo)致可暴力破解
風險程度:【輕度】
風險分析:攻擊者一般會使用自動化腳本組合出常見的用戶名和密碼,即字典,再結(jié)合軟件burpsuite的intruder功能進行暴力破解。
解決辦法:
1)在用戶登錄中使用驗證碼可以防御暴力破解攻擊,驗證碼應(yīng)從以下方面保證其安全性:長度不低于4位、避免使用容易被程序自動識別的驗證碼,驗證碼不應(yīng)返回到客戶端;
2)及時修改用戶的默認或缺省口令;
3)限制同一用戶的登錄錯誤次數(shù),防止暴力破解;
4)使用加密方式傳輸用戶名和密碼;對于行內(nèi)系統(tǒng)建議使用行內(nèi)統(tǒng)一用戶認證組件UASS。
