- 暴力破解测试
就是指对应用系统用户登录账号与密码进行的穷举测试,针对账号和密码进行逐一比较,直到找到正确账号与密码。
一般是三种情况:
已知账号,加载密码字典对密码进行穷举测试;
未知账号,加载账号字典,结合密码字典进行穷举测试;
未知账号与密码,利用账号与密码进行穷举测试;
使用BurpSuite工具进行破解。
修复建议:增加验证码,登陆失败一次则验证码重新变换一次;
配置登录失败次数限制策略,同一用户连续输错密码几次则在一定时间内限制其登录;
增加短信验证码与邮箱验证码双重验证。
- 本地加密传输测试
就是针对客户端与服务器的数据传输,查看数据是否采用SSL安全套接字加密方式加密。
使用Fiddle或Wireshark抓包工具进行登录页面用户名与密码的数据抓取,未采用SSL协议且对登录信息未进行算法加密的可直接拿到明文数据。
修复建议:在Web应用的服务器上部署有效的SSL证书服务。三.Session会话固定测试
Session是针对应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时,应将客户端session认证属性标识清空。如果未能清空客户端Session标识,在下次登录系统时,系统会重复利用该Session标识进行认证会话,攻击者可利用该漏洞生成固定Seesion会话,诱骗用户利用攻击者生成的固定会话进行系统登录,导致用户会话认证被窃取。
同样利用Burpsuite在用户登陆后退出时截取SessionID,再次进行登录查看SessionID,若两次相同则存在固定会话风险。
修复建议:客户端登录系统时,首先判断客户端是否提交浏览器的留存session认证会话标识,客户端提交此信息到服务器时,应及时销毁浏览器留存的session。
四.密文比对认证测试
系统登录时加密流程是密码与用户名发送到服务器,服务器对密码哈希加密后与数据库中存储的加密值比对,相同则正确。但有些网站是在浏览器客户端对密码进行哈希加密后传到服务器进行对比,这种流程会泄露加密方式,导致出现隐患。
建议:将
最低0.47元/天 解锁文章
扫一扫
770
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
