Rumah Kewangan Peribadi Hacks Login tidak terjamin dalam Aplikasi Web dan Cara Mencegah Login

Hacks Login tidak terjamin dalam Aplikasi Web dan Cara Mencegah Login

Video: CARA MENGAMANKAN WHATSAPP BIAR TIDAK BISA DISADAP 2024

Video: CARA MENGAMANKAN WHATSAPP BIAR TIDAK BISA DISADAP 2024
Anonim

Banyak laman web yang memerlukan pengguna untuk log masuk sebelum mereka boleh melakukan apa-apa dengan permohonan itu. Menghairankan, ini boleh menjadi sangat membantu penggodam. Mekanisme log masuk ini sering tidak mengendalikan ID pengguna atau kata laluan yang salah. Mereka sering menyebarkan maklumat yang terlalu banyak yang boleh digunakan oleh penyerang untuk mengumpul ID pengguna dan kata laluan yang sah.

Untuk menguji mekanisma log masuk tidak selamat, semak imbas kepada aplikasi anda dan log masuk

  • Menggunakan ID pengguna yang tidak sah dengan kata laluan yang sah

  • Menggunakan ID pengguna yang sah dengan kata laluan tidak sah

  • Menggunakan ID pengguna yang tidak sah dan katal kata tidak sah

Setelah anda memasukkan maklumat ini, aplikasi web mungkin akan bertindak balas dengan mesej yang serupa dengan ID pengguna anda tidak sah atau kata laluan anda tidak sah. Aplikasi web mungkin mengembalikan mesej ralat generik, seperti kombinasi ID pengguna dan kata laluan anda tidak sah dan, pada masa yang sama, mengembalikan kod ralat yang berlainan dalam URL untuk ID pengguna yang tidak sah dan kata laluan yang tidak sah.

Dalam kedua-dua kes, ini adalah berita buruk kerana aplikasi memberitahu anda bukan sahaja parameter yang tidak sah, tetapi juga yang sah . Ini bermakna penyerang berniat jahat kini tahu nama pengguna atau kata laluan yang baik - beban kerja mereka telah dipotong separuh! Jika mereka tahu nama pengguna, mereka hanya dapat menulis skrip untuk mengotomatisasi proses cracking password, dan sebaliknya.

Anda juga harus mengambil ujian login anda ke peringkat seterusnya dengan menggunakan alat cracking login web, seperti Brutus. Brutus adalah alat yang sangat mudah yang boleh digunakan untuk memecahkan kedua-dua HTTP dan mekanisme pengesahan berasaskan form dengan menggunakan kedua-dua kamus dan serangan brute-force.

Seperti apa-apa jenis ujian kata laluan, ini boleh menjadi tugas yang panjang dan sukar, dan anda menghadapi risiko mengunci akaun pengguna. Teruskan dengan berhati-hati.

Alternatif - dan lebih baik dipelihara - alat untuk kata laluan web retak adalah THC-Hydra.

Kebanyakan pengimbas kerentanan web komersil mempunyai kerangka kata laluan web berasaskan kamus yang baik tetapi tidak dapat melakukan ujian kekerasan yang benar seperti Brutus dapat. Kejayaan kata laluan anda sangat bergantung pada senarai kamus anda. Berikut adalah beberapa laman web yang popular yang memuatkan kamus fail dan lain-lain senarai perkataan:

  • ftp: // ftp. cerias. purdue. edu / pub / dict

  • // packetstormsecurity. org / Crackers / wordlists

  • www. outpost9. com / files / WordLists. html

Anda mungkin tidak memerlukan alat cracking kata laluan kerana banyak sistem web front-end, seperti sistem pengurusan storan dan video IP dan sistem kawalan akses fizikal, hanya mempunyai kata laluan yang datang kepada mereka.Kata laluan lalai ini biasanya "kata laluan," "admin," atau tidak ada sama sekali. Sesetengah kata laluan bahkan tertanam di dalam kod sumber halaman masuk.

Anda boleh melaksanakan tindak balas yang berikut untuk menghalang orang daripada menyerang sistem log masuk yang lemah dalam aplikasi web anda:

  • Sebarang kesilapan masuk yang dikembalikan kepada pengguna akhir mestilah sebagai generik yang mungkin, mengatakan sesuatu yang serupa dengan ID pengguna anda dan kombinasi kata laluan tidak sah.

  • Aplikasi tidak sepatutnya mengembalikan kod ralat dalam URL yang membezakan antara ID pengguna yang tidak sah dan kata laluan yang tidak sah.

    Jika mesej URL mesti dikembalikan, aplikasi itu harus menyimpannya sebagai generik yang mungkin. Contohnya:

    www. your_web_app. com / login. cgi? success = false

    Mesej URL ini mungkin tidak mudah untuk pengguna, tetapi ia membantu menyembunyikan mekanisme dan tindakan di belakang layar dari penyerang.

  • Gunakan CAPTCHA (juga reCAPTCHA) atau borang login web untuk membantu mencegah percubaan kata laluan retak.

  • Guna mekanisme penguncian penceroboh pada pelayan web anda atau dalam aplikasi web anda untuk mengunci akaun pengguna selepas 10-15 percubaan masuk gagal. Kerja-kerja ini boleh dikendalikan melalui penjejakan sesi atau melalui aplikasi firewall aplikasi pihak ketiga.

  • Periksa dan ubah kata laluan lalai vendor kepada sesuatu yang mudah diingat lagi sukar untuk retak.

Hacks Login tidak terjamin dalam Aplikasi Web dan Cara Mencegah Login

Pilihan Editor

Pilihan Editor

Cara Konfigurasi dan Pemantauan IS-IS pada Alat Junos - dummies

Cara Konfigurasi dan Pemantauan IS-IS pada Alat Junos - dummies

Kewangan Peribadi

IS-IS protokol penghalaan gerbang dalaman pautan-negeri. Seperti OSPF, IS-IS mengendalikan algoritma pertama yang terpendam Dijkstra (SPF) untuk membuat pangkalan data topologi rangkaian dan, dari pangkalan data itu, untuk menentukan jalan terbaik (iaitu, terpendek) ke destinasi. Paket-paket yang IS-IS routers menghantar kepada satu sama lain menggambarkan topologi rangkaian adalah ...

Bagaimana Konfigurasi dan Memantau OSPF pada Junos Router - dummies

Bagaimana Konfigurasi dan Memantau OSPF pada Junos Router - dummies

Kewangan Peribadi

OSPF adalah ciri kaya, protokol multi-topologi yang memerlukan sedikit usaha untuk menubuhkan keperluan khusus rangkaian anda. Tetapi, mengkonfigurasi dan mengawasi OSPF pada router Junos OS adalah mudah dan mudah. Pertama, anda mesti menentukan kawasan OSPF yang penghubung akan disambungkan, dan kemudian anda mesti mendayakan OSPF pada antara muka ...

Cara Konfigurasi Banner Masuk pada Alat Junos - dummies

Cara Konfigurasi Banner Masuk pada Alat Junos - dummies

Kewangan Peribadi

Ketika anda masuk ke OS Junos peranti, anda segera dimasukkan ke dalam Command Line Interface (CLI) dan boleh mula berfungsi. Ganjaran menunjukkan nama pengguna yang digunakan untuk log masuk dan nama peranti: user @ junos-device> Oleh kerana peranti dikongsi pada rangkaian, anda mungkin mahu menghantar mesej kepada ...

Pilihan Editor

Rugby utama - dummies

Rugby utama - dummies

Media Sosial

Untuk pemain ragbi atau penonton kali pertama, sukan ini mungkin kelihatan koleksi yang tidak dapat dielakkan pergerakan dan perlanggaran seram. Pada hakikatnya, rugby sangat teknikal dan teratur dengan undang-undang khusus yang mengawal semua aspek permainan. Untuk mendapatkan anda di landasan yang betul awal, berikut adalah empat bahagian yang paling penting ...

Rugby Positions dan Scoring - dummies

Rugby Positions dan Scoring - dummies

Media Sosial

Seperti kebanyakan sukan yang tidak berasal dari Amerika Utara, permainan ragbi boleh sukar untuk difahami pada pandangan pertama kerana sejumlah besar pemain yang terlibat, panggilan rawak yang kelihatan rawak, dan pelbagai strategi yang digunakan oleh pasukan yang berlainan untuk menjaringkan mata dan mendapatkan kemenangan. Bahagian berikut ...

Power Boating For Dummies Cheat Sheet - dummies

Power Boating For Dummies Cheat Sheet - dummies

Media Sosial

Boating power adalah hobi yang menyeronokkan dan santai selagi bot anda selamat dan sedia untuk dilancarkan. Pemeriksaan mudah dapat membantu memastikan kedua-duanya. Sebagai salah satu kraf yang lebih kuat di atas air, anda perlu tahu kapan untuk memberi laluan dan apabila anda berhak untuk berdiri di atas jalan ...

Pilihan Editor

Cara Snap Apps ke Sisi Skrin di Xbox One - dummies

Cara Snap Apps ke Sisi Skrin di Xbox One - dummies

Kewangan Peribadi

Xbox One membolehkan anda menjalankan permainan dan aplikasi pada masa yang sama. Sebagai contoh, anda boleh memainkan permainan, mematikan soundtracknya dan mendengar muzik anda sendiri semasa anda bermain, dengan aplikasi Xbox Music. Atau, anda boleh merakam program TV kegemaran anda dan memerhatikan permainan semasa ...

Bagaimana untuk menghidupkan dan menghidupkan semasa elektrik

Bagaimana untuk menghidupkan dan menghidupkan semasa elektrik

Kewangan Peribadi

Cara Solder Bersama Bersama pada Projek Elektronik Anda

Cara Solder Bersama Bersama pada Projek Elektronik Anda

Kewangan Peribadi

Pilihan Editor

Pilihan Editor

Kategori popular

© Copyright ms.blender3dtutorials.com, 2024 September | Mengenai laman web | Kenalan | Dasar Privasi..