一.1.1 ?暴力破解
問題描述:經(jīng)測試發(fā)現(xiàn),網(wǎng)站前臺(tái)登陸處未對登陸失敗次數(shù)進(jìn)行限制,導(dǎo)致可進(jìn)行暴力破解進(jìn)行賬號及口令猜測。
受影響的URL:http://m.jzztb.org.cn/industry
驗(yàn)證過程:
1 ?未限制登錄次數(shù)導(dǎo)致可暴力破解
風(fēng)險(xiǎn)程度:【輕度】
風(fēng)險(xiǎn)分析:攻擊者一般會(huì)使用自動(dòng)化腳本組合出常見的用戶名和密碼,即字典,再結(jié)合軟件burpsuite的intruder功能進(jìn)行暴力破解。
解決辦法:
1)?在用戶登錄中使用驗(yàn)證碼可以防御暴力破解攻擊,驗(yàn)證碼應(yīng)從以下方面保證其安全性:長度不低于4位、避免使用容易被程序自動(dòng)識(shí)別的驗(yàn)證碼,驗(yàn)證碼不應(yīng)返回到客戶端;
2)?及時(shí)修改用戶的默認(rèn)或缺省口令;
3)?限制同一用戶的登錄錯(cuò)誤次數(shù),防止暴力破解;
4)?使用加密方式傳輸用戶名和密碼;對于行內(nèi)系統(tǒng)建議使用行內(nèi)統(tǒng)一用戶認(rèn)證組件UASS。