62,046
社区成员
发帖
与我相关
我的任务
分享测试出来的一些安全性bug 但是看不明白
各位帮我看看应该从什么方面解决
1.
原话是:登录错误信息凭证枚举。
我网上查了一下是
"当用户输入无效的用户名和无效的密码时,应用程序会分别生成不同的错误信息。通过利用该行为,攻击者可以通过反复实验(蛮力攻击技术)来发现应用程序的有效用户名,再继续尝试发现相关联的密码,这样会得到有效用户名和密码的枚举,攻击者可以用来访问账户"
2. 会话标识未更新
1.
原话是:登录错误信息凭证枚举。
我网上查了一下是
"当用户输入无效的用户名和无效的密码时,应用程序会分别生成不同的错误信息。通过利用该行为,攻击者可以通过反复实验(蛮力攻击技术)来发现应用程序的有效用户名,再继续尝试发现相关联的密码,这样会得到有效用户名和密码的枚举,攻击者可以用来访问账户"
2. 会话标识未更新
...全文
请发表友善的回复…
发表回复
boliheng0714 2012-05-31
- 打赏
- 举报
请问你“会话标识未更新”的问题是怎么解决的?
指导我一下吧,非常感谢
指导我一下吧,非常感谢
Ray_Yang 2010-12-19
- 打赏
- 举报
haode !
winner2050 2010-12-19
- 打赏
- 举报
六楼的正解了,结贴吧。
总之不要多此一举的给客户端返回详细的错误信息。
总之不要多此一举的给客户端返回详细的错误信息。
vrhero 2010-12-18
- 打赏
- 举报
1.多此一举...例如(伪码)...
应为...
2.登录状态改变或注销时没有更新会话标识...
if(name!=auth.Name){
//抛出登录名不匹配异常或显示登录名不匹配验证信息
}
if(passwd!=auth.Password){
//抛出密码不匹配异常或显示密码不匹配验证信息
}应为...
if(name!=auth.Name && passwd!=auth.Password){
//抛出登录名或密码不匹配异常或显示登录名或密码不匹配验证信息
}2.登录状态改变或注销时没有更新会话标识...
吕津 2010-12-18
- 打赏
- 举报
期待高手。
程程 2010-12-18
- 打赏
- 举报
我也需要!
Ray_Yang 2010-12-18
- 打赏
- 举报
啊 对了
测试的时候说 有验证码 测性能的时候不方便 让我先去掉了
日哦!!!
测试的时候说 有验证码 测性能的时候不方便 让我先去掉了
日哦!!!
Ray_Yang 2010-12-18
- 打赏
- 举报
验证码我也弄了
PitTroll 2010-12-18
- 打赏
- 举报
1、验证码,像CSDN登录的那样可以解决吧。
