2019-01-07 分類: 網(wǎng)站建設(shè)
一.1.1 暴力破解
問題描述:經(jīng)測(cè)試發(fā)現(xiàn),網(wǎng)站前臺(tái)登陸處未對(duì)登陸失敗次數(shù)進(jìn)行限制,導(dǎo)致可進(jìn)行暴力破解進(jìn)行賬號(hào)及口令猜測(cè)。
受影響的URL:www.rwnh.cn/industry
驗(yàn)證過程:
1 未限制登錄次數(shù)導(dǎo)致可暴力破解
風(fēng)險(xiǎn)程度:【輕度】
風(fēng)險(xiǎn)分析:攻擊者一般會(huì)使用自動(dòng)化腳本組合出常見的用戶名和密碼,即字典,再結(jié)合軟件burpsuite的intruder功能進(jìn)行暴力破解。
解決辦法:
1)在用戶登錄中使用驗(yàn)證碼可以防御暴力破解攻擊,驗(yàn)證碼應(yīng)從以下方面保證其安全性:長度不低于4位、避免使用容易被程序自動(dòng)識(shí)別的驗(yàn)證碼,驗(yàn)證碼不應(yīng)返回到客戶端;
2)及時(shí)修改用戶的默認(rèn)或缺省口令;
3)限制同一用戶的登錄錯(cuò)誤次數(shù),防止暴力破解;
4)使用加密方式傳輸用戶名和密碼;對(duì)于行內(nèi)系統(tǒng)建議使用行內(nèi)統(tǒng)一用戶認(rèn)證組件UASS。
當(dāng)前文章:暴力破解后的問題的解決辦法。
網(wǎng)站鏈接:http://www.rwnh.cn/news14/78964.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站內(nèi)鏈、用戶體驗(yàn)、品牌網(wǎng)站制作、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站制作、全網(wǎng)營銷推廣
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容