本文探讨了忘记密码功能中存在的安全漏洞,包括未加密的验证码、过度依赖MD5加密及暴力破解等问题,并提供了防御措施。
忘记密码这个功能相对于登录功能来说,是比较容易忽略的,因为大家可能觉得忘记密码(找回密码)比较简单,大多数的思路便是通过用户名、手机、邮件等找回密码,其实这个功能还是存在很多可以攻击的地方,也是比较容易出现安全问题的。
第一类:没有使用加密手段
场景一:直接截取手机验证码
某网站的忘记密码功能是通过手机号码找回,我输入自己的手机号码,点击发送重置密码短信之后,我查看源代码(或者通过截取post请求),发现验证码存在源代码网页上(或者截取到的post请求可以查看),而且还没有进行加密(就是因为没有进行加密,才方便于联想到它是验证码,也方便重新将验证码输入后重置密码),于是我就可以输入其他人的手机号码,这样通过截取信息就可以获取相应的验证码,进而可以重置这个用户的密码信息。
场景二:截取数据将手机号换成自己的,验证码直接发送到自己手机上
假设有这样一个网站,重置密码页面由用户名、手机号码和验证码组成,这个页面中如果输入一个已存在的用户,手机号码会自动生成,但是会把中间4位使用*号代替(这是一个漏洞,将两个校验简化成了一个校验)。
某人可以通过暴力破解的方式查找到一个存在的用户名,然后自动生成了一个带有*的手机号码,我输入验证码后点击重置密码按钮,同时进行抓包截取这个请求,然后分析结果发现,post请求中有没有加密的手机号码,11位全部可以读取(是明文的),手机明文也是一个问题。
我完全可以将手机号码换成我自己的,然后重新把这个包发出去,这样短信就会发送到我的手机上,短信中有了新密码,我可以以其他人的身份去登录啦(现在好多网站会在短信中给你一个密码,然后建议你去更改)。
第二类:过于信任MD5加密
MD5加密可以预防一些安全问题,但是不得不承认,它也是一些安全问题的源泉。
下面的两个例子都是发现重置邮件中的链接,虽然进行了MD5加密,但是具有规律性。
场景一:
某网站的重置密码是通过发送邮件的方式,可能我通过使用自己的邮件重置密码,在收到的邮件中发现邮件中的链接是使用id和id的MD5加密过后的字符串组合而成,如果发现了这个规律,就可以通过以下操作:
通过暴力破解查找到已存在的用户名,然后使用暴力破解重置密码链接(即使你没有收到这个邮件,因为邮件中唯一标识是由id组成,id一般是用户的id,用户数量是一定的,可以不断增大id值来暴力破解),这样就可以重置别人的账号信息。
场景二:
某网站的重置密码是通过发送邮件的方式,可能我通过使用自己的邮件重置密码,在收到的邮件中发现邮件中的链接是username的MD5加密后的字符串,发现了规律,我想会不会有一个叫做admin的管理员用户呢,于是试试的心态打开将admin使用MD5加密后的链接,竟然重置成功后使用admin登录进去了,
哇哦哦,这可是管理员的账号啊!!
第三类:直接暴力破解
1.暴力破解,主要使用穷举法。
2.组合破解,使用MD5加密后暴力破解或者综合技术等等。
小方案:
提问:现在有的网站有登录、访问的限制,对次数有限制要求,那怎么使用暴力破解呢?
解答:设置发送包的时间,还有就是要使用变换IP的工具,网上比较多。
注:
本篇博文主要是供学习使用,不作其他用途。
扫一扫
167
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
