读《黑客攻防技术宝典-WEB实战篇》
第6章:攻击验证机制
6.2:验证机制设计缺陷
6.2.1:密码保密性不强
弱密码,web应用并未对用户自定义的密码进行约束。
6.2.2:蛮力攻击登录
暴力破解,应用程序允许攻击者无阻力地不断尝试错误密码,直到猜对,不采取阻拦。
6.2.3:详细的失败消息
类似于登录失败后显示的“用户不存在”和“密码错误”,这样会帮助攻击者确定username和password的一项(基本上是username),从而专攻password,并且通过暴力获取大量用户名。登录失败返回的页面效果可能一样,但html源码可能有所不同。
6.2.4:证书传输易受攻击
to be continued