ISS-0003938 Web Inspect Open Medium SuspicIoUs Files Found in
Recursive Directory ****** Remove any unnecessary pages from the web
server If any files are necessary restrict access to those that are
not supposed to be publicly accessible Remove any backup files and
temporary files that were on the server for development testing Please
remove backup files alternative login files, files that contain
functionality that are depreciated and any short cut files that
developers use.
被标记的文件是/js/pmailer_minimal.js的原因,因为.js文件中包含以下内容.
url: URL + '/login/forgot-password/request/'+ username,
通过使用这些信息,攻击者便可以开始枚举用户名,直到他们从响应中获得成功消息为止.
解决此问题的最佳解决方案是什么?我们会改变我们的回应吗?我们是否限制重试次数?还有什么其他解决方案?
还应该考虑的是,如果攻击者拥有用户名,则可以尝试进行暴力攻击.
我正在寻找尽可能多的建议来解决这种威胁.
解决方法:
获得公司人员名单很容易.只是Google LinkedIn,等等.我什至拥有一些潜在的密码(密码转储,诸如Pa $$w0rd之类的愚蠢密码,公司名称或其他常用模式).
问题是将其应用于公开的随机Web应用程序.是用户名格式,例如first.lastname,email,firstinitiallastname或其他名称.我将采用这些密码,并尝试使用一些潜在密码的所有用户.目标是获得一个有效的登录名.然后,很容易从应用程序本身中提取真实用户的完整列表.
在登录页面上给出通用答案确实会挫败我们的工作.如果我可以获取正确的用户名,则每个用户最多可以尝试使用24个密码(每小时为每个用户分配一个密码,以避免锁定).在尝试的一天之内,没有多少组织没有成功登录.
如果我无法确定用户名是否正确,则必须尝试使用用户名的每种组合来输入每个可能的密码.因此,我可能只会为每个潜在用户尝试3-4个密码,然后再进行过多努力.因此,除非用户选择了真正愚蠢的密码,否则我可能不会进入该应用程序.
有时您可以对照应用程序的其他部分检查用户名,尤其是密码重置功能.对抽查有用,但对暴力破解不起作用,因为它通常会向用户发送电子邮件,并且可能会锁定帐户,直到重置密码为止.其中太多通常会警告IT部门正在发生事情.
就像其他人提到的那样,我将其列为漏洞.如果我开始使用它,它将进入报告中.如果没有,我将告诉IT人员,但将其排除在报告之外.较小的尝试者试图找到要添加到报告中的内容,确实会将该报告标记为关键报告,并使报告不合比例.
我通常建议的解决方案是为失败的登录总数添加一个阈值.锁定对于每个用户来说效果很好,因此在一段时间内登录失败的次数很多.为在所有用户中尝试输入密码的用户添加其他内容,例如在一段时间内XX次唯一的失败用户登录.总会有一些基本的噪音,但是蛮力攻击很快就会变得很明显.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
