Rumah Kewangan Peribadi Hacks Login tidak terjamin dalam Aplikasi Web dan Cara Mencegah Login

Hacks Login tidak terjamin dalam Aplikasi Web dan Cara Mencegah Login

Video: CARA MENGAMANKAN WHATSAPP BIAR TIDAK BISA DISADAP 2025

Video: CARA MENGAMANKAN WHATSAPP BIAR TIDAK BISA DISADAP 2025
Anonim

Banyak laman web yang memerlukan pengguna untuk log masuk sebelum mereka boleh melakukan apa-apa dengan permohonan itu. Menghairankan, ini boleh menjadi sangat membantu penggodam. Mekanisme log masuk ini sering tidak mengendalikan ID pengguna atau kata laluan yang salah. Mereka sering menyebarkan maklumat yang terlalu banyak yang boleh digunakan oleh penyerang untuk mengumpul ID pengguna dan kata laluan yang sah.

Untuk menguji mekanisma log masuk tidak selamat, semak imbas kepada aplikasi anda dan log masuk

  • Menggunakan ID pengguna yang tidak sah dengan kata laluan yang sah

  • Menggunakan ID pengguna yang sah dengan kata laluan tidak sah

  • Menggunakan ID pengguna yang tidak sah dan katal kata tidak sah

Setelah anda memasukkan maklumat ini, aplikasi web mungkin akan bertindak balas dengan mesej yang serupa dengan ID pengguna anda tidak sah atau kata laluan anda tidak sah. Aplikasi web mungkin mengembalikan mesej ralat generik, seperti kombinasi ID pengguna dan kata laluan anda tidak sah dan, pada masa yang sama, mengembalikan kod ralat yang berlainan dalam URL untuk ID pengguna yang tidak sah dan kata laluan yang tidak sah.

Dalam kedua-dua kes, ini adalah berita buruk kerana aplikasi memberitahu anda bukan sahaja parameter yang tidak sah, tetapi juga yang sah . Ini bermakna penyerang berniat jahat kini tahu nama pengguna atau kata laluan yang baik - beban kerja mereka telah dipotong separuh! Jika mereka tahu nama pengguna, mereka hanya dapat menulis skrip untuk mengotomatisasi proses cracking password, dan sebaliknya.

Anda juga harus mengambil ujian login anda ke peringkat seterusnya dengan menggunakan alat cracking login web, seperti Brutus. Brutus adalah alat yang sangat mudah yang boleh digunakan untuk memecahkan kedua-dua HTTP dan mekanisme pengesahan berasaskan form dengan menggunakan kedua-dua kamus dan serangan brute-force.

Seperti apa-apa jenis ujian kata laluan, ini boleh menjadi tugas yang panjang dan sukar, dan anda menghadapi risiko mengunci akaun pengguna. Teruskan dengan berhati-hati.

Alternatif - dan lebih baik dipelihara - alat untuk kata laluan web retak adalah THC-Hydra.

Kebanyakan pengimbas kerentanan web komersil mempunyai kerangka kata laluan web berasaskan kamus yang baik tetapi tidak dapat melakukan ujian kekerasan yang benar seperti Brutus dapat. Kejayaan kata laluan anda sangat bergantung pada senarai kamus anda. Berikut adalah beberapa laman web yang popular yang memuatkan kamus fail dan lain-lain senarai perkataan:

  • ftp: // ftp. cerias. purdue. edu / pub / dict

  • // packetstormsecurity. org / Crackers / wordlists

  • www. outpost9. com / files / WordLists. html

Anda mungkin tidak memerlukan alat cracking kata laluan kerana banyak sistem web front-end, seperti sistem pengurusan storan dan video IP dan sistem kawalan akses fizikal, hanya mempunyai kata laluan yang datang kepada mereka.Kata laluan lalai ini biasanya "kata laluan," "admin," atau tidak ada sama sekali. Sesetengah kata laluan bahkan tertanam di dalam kod sumber halaman masuk.

Anda boleh melaksanakan tindak balas yang berikut untuk menghalang orang daripada menyerang sistem log masuk yang lemah dalam aplikasi web anda:

  • Sebarang kesilapan masuk yang dikembalikan kepada pengguna akhir mestilah sebagai generik yang mungkin, mengatakan sesuatu yang serupa dengan ID pengguna anda dan kombinasi kata laluan tidak sah.

  • Aplikasi tidak sepatutnya mengembalikan kod ralat dalam URL yang membezakan antara ID pengguna yang tidak sah dan kata laluan yang tidak sah.

    Jika mesej URL mesti dikembalikan, aplikasi itu harus menyimpannya sebagai generik yang mungkin. Contohnya:

    www. your_web_app. com / login. cgi? success = false

    Mesej URL ini mungkin tidak mudah untuk pengguna, tetapi ia membantu menyembunyikan mekanisme dan tindakan di belakang layar dari penyerang.

  • Gunakan CAPTCHA (juga reCAPTCHA) atau borang login web untuk membantu mencegah percubaan kata laluan retak.

  • Guna mekanisme penguncian penceroboh pada pelayan web anda atau dalam aplikasi web anda untuk mengunci akaun pengguna selepas 10-15 percubaan masuk gagal. Kerja-kerja ini boleh dikendalikan melalui penjejakan sesi atau melalui aplikasi firewall aplikasi pihak ketiga.

  • Periksa dan ubah kata laluan lalai vendor kepada sesuatu yang mudah diingat lagi sukar untuk retak.

Hacks Login tidak terjamin dalam Aplikasi Web dan Cara Mencegah Login

Pilihan Editor

Pilihan Editor

Cara Memohon Bentuk ke Objek di PowerPoint - dummies

Cara Memohon Bentuk ke Objek di PowerPoint - dummies

Media Sosial

Cara paling mudah untuk memohon pemformatan kepada objek dalam PowerPoint 2013 adalah dengan arahan Shape Styles. Bergantung kepada gaya yang anda pilih, gaya bentuk boleh menyertakan sempadan, warna yang mengisi, dan kesan khas yang menjadikan bentuk kelihatan berkilat, matte, atau dinaikkan. Walaupun dari nama anda mungkin mengharapkan gaya bentuk ...

Cara Tambah Video ke Slaid Anda di PowerPoint 2016 - video

Cara Tambah Video ke Slaid Anda di PowerPoint 2016 - video

Media Sosial

Tidak hanya milik di YouTube. Anda boleh dengan mudah menambah klip video ke persembahan PowerPoint 2016 anda dan memainkannya pada kehendak. Menambah klip pergerakan filem ke slaid adalah sama dengan menambah klip bunyi. Namun, terdapat perbezaan yang sangat penting antara klip gerakan dan gigitan bunyi: Video dimaksudkan untuk dilihat (dan ...

Bagaimana Melaksanakan Kesan Teks ke PowerPoint 2007 Text - dummies

Bagaimana Melaksanakan Kesan Teks ke PowerPoint 2007 Text - dummies

Media Sosial

Di bahagian bawah dialog Font PowerPoint kotak adalah pilihan Kesan. Kesan teks PowerPoint mempunyai pelbagai kegunaan, beberapa utilitarian dan sesetengahnya bersenang-senang. Berhati-hati dengan kesan teks. Gunakannya dengan berhati-hati dan pastikan mereka menambah kandungan persembahan anda dan bukannya mengalihkan perhatiannya. Pergi ke PowerPoint ...

Pilihan Editor

Bagaimana Menentukan Idea Utama dalam Perenggan untuk ASVAB - patung

Bagaimana Menentukan Idea Utama dalam Perenggan untuk ASVAB - patung

Media Sosial

Soalan pada subtest Pemahaman Perenggan ASVAB sering meminta anda untuk mengenal pasti titik utama dari laluan bacaan. Bagaimanakah anda lebih baik mengenali idea-idea utama? Amalan. Idea utama, yang merupakan perkara paling penting yang penulis buat, kadangkala dinyatakan dan terkadang tersirat dalam sekeping tulisan. ...

Cara mengenalpasti mata untuk subtest pemahaman membaca ASVAB - dummies

Cara mengenalpasti mata untuk subtest pemahaman membaca ASVAB - dummies

Media Sosial

Apabila seseorang menulis sesuatu, dia hampir selalu cuba membuat satu titik. Mesej ini dipanggil titik utama atau idea utama penulisan. Perenggan atau petikan ini juga boleh mengandungi maklumat yang menyokong atau memperkuatkan titik utama; permata kecil ini dipanggil subpoints. Pilih titik utama Titik utama adalah ...

Bagaimana Menyelesaikan Masalah Geometrik pada ASVAB - dummies

Bagaimana Menyelesaikan Masalah Geometrik pada ASVAB - dummies

Media Sosial

Masalah geometrik pada ASVAB menghendaki anda mengira jumlah, perimeter, kawasan, lilitan, diameter, dan sebagainya pelbagai bentuk geometri. Masalah-masalah ini tidak begitu sukar dengan sedikit pengetahuan tentang beberapa formula geometri. Anda melukis pagar yang panjangnya 20 kaki dan tinggi 6 kaki. Berapa banyak rakaman persegi pagar ...

Pilihan Editor

Pilihan Editor

Pilihan Editor

Kategori popular

© Copyright ms.blender3dtutorials.com, 2025 Februari | Mengenai laman web | Kenalan | Dasar Privasi..