攻击验证机制

一.验证技术

二.验证机制设计缺陷
1.密码保密性不强 (密码强度检测规则)
2.可蛮力攻击登录
这里有一处应程序允许弱密码,并用burpsuite intruder的攻击方法,
链接http://www.findys.me/?p=221
3.详细的失败消息
4.证书传输易受攻击
5.密码修改功能缺陷
6.忘记密码功能缺陷
7.记住我功能
8.用户伪装功能
9.证书确认不完善
10.非唯一性用户
11.可预测用户名
12.可预测的初始密码
13.证书分配不佳

三.验证机制执行缺陷
1.故障开放登录机制
2.多阶段登录阶段中的缺陷
3.不安全的证书储存

四.保障验证机制的安全
1.使用可靠的证书
2.安全处理证书
3.正确确认证书
4.防止信息泄露
5.防止蛮力攻击
6.防止滥用密码修改功能
7.防止滥用账户恢复功能
8.日志,监控与通知

发表评论

电子邮件地址不会被公开。 必填项已用*标注