WEB开发网
开发学院网络安全安全技术 Web安全实践(11)用户名枚举 阅读

Web安全实践(11)用户名枚举

 2009-01-05 13:49:44 来源:WEB开发网   
核心提示: 看,连邮箱都给我们显示出来了,Web安全实践(11)用户名枚举(3), 这里需要说的是,对于具体的攻击细节和防护细节我们留在下一篇文章中具体探讨,但设计不好的验证码是可以绕过的,这里也不详细说, (5)账户锁定 对于返回错误信息不明显的页面我们也可以利用它的账户锁定机制,原因很简单

Web安全实践(11)用户名枚举

看,连邮箱都给我们显示出来了。

这里需要说的是,对于具体的攻击细节和防护细节我们留在下一篇文章中具体探讨。

(5)账户锁定

对于返回错误信息不明显的页面我们也可以利用它的账户锁定机制。原因很简单,账户锁定仅仅针对已经存在的用户,而对不存在的用户是不锁定的。比如126邮箱。但是账户锁定很容易被暴力程序造成拒绝服务攻击。

Web安全实践(11)用户名枚举

11.4 阻止暴力探测的一些方法的探讨

(1)账户锁定

账户锁定是很有效的方法,因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。

如果对已经锁定的账户并不返回任何信息,可能迷惑攻击者。

(2)返回信息

如果不管结果如何都返回成功的信息,破解软件就会停止攻击。但是对人来说很快就会被识破。

(3)页面跳转

产生登录错的的时候就跳到另一个页面要求重新登录。比如126和校内网都是这样做的。局限性在于不能总是跳转页面,一般只在第一次错误的时候跳转,但是第一次之后又可以继续暴力探测了。

(4)适当的延时

检查密码的时候适当的插入一些暂停,可以减缓攻击,但是可能对用户造成一定的影响。

(5)封锁多次登录的IP地址

这种方法也是有缺点的,因为攻击者可以定时更换自己的IP。

(6)验证码

刚才Mien Ng给我说了验证码的问题,本来打算在下次说的,既然提了,也感觉该在这里说一下比较好。验证码确实是阻止暴力攻击的好方法,但设计不好的验证码是可以绕过的,这里也不详细说。对于特定目标的手工探测来说验证码是没有作用的。

上一页  1 2 3 

Tags:Web 安全 实践

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接