网站和APP的登录框会存在哪些漏洞?

  只有一个登录框能够测试哪些漏洞?通常每个人都会测试关键部分。为了取得更好的测试效果,小工厂会为你的用户名提供密码;但是有些重要的企业,这个环境是正式环境,当你不想看到一些数据的时候,就不会提供给你登录账号了。这个时候,考验你基础知识是否扎实的时候到了。


使用者名字枚举漏洞描述:存在于系统登录界面,利用登录时键入系统存在的使用者名字错误密码和没有的使用者名字错误密码,返回不同的错误信息,能够 将系统存在的帐号信息枚举出来。测试方法:找到网站或网络系统登录界面。在网络系统登录界面时,使用系统中存在的用户名和没有的用户名,随意登录密码,查看其显示内容。比如键入存在的用户名admin,显示如下:密码错误;键入没有的用户名yonghu1显示如下:用户没有。

风险分析:攻击者能够 根据网站应用程序返回的上述提示信息在系统中登录用户名,然后对登录用户名进行暴力破解。修复方案:建议将网站登录界面的判断信息修改为一致:用户名或密码错误。

弱密码漏洞描述:认证登录有弱密码。

测试方法:1。找到网站登录界面,尝试键入常见的弱密码;2.根据网站使用的第三方组件,找到特定的弱密码或默认密码进行登录。通常很多厂商后台默认账号是admin,密码是admin或者123456,能够 通过暴力破解来尝试。风险分析:攻击者能够 尝试使用互联网公开的常见弱密码登录管理背景,对网站产生一定的影响。


修复方案:禁止使用弱密码,密码必须满足一定的复杂性。

空密码漏洞描述:认证登录允许空密码。测试方法:找到网站登录界面,尝试键入用户名,空密码登录。例子:暂时没有。风险分析:攻击者能够 使用漏洞登录网站后台,操作敏感数据,甚至上传webshell来控制服务器。修复方案:判断输入密码是否为空,禁止空密码登录。


分享: