Web 攻防之业务安全:登录失败信息测试
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。
目录:
第一步:在系统登录页面中输入不存在的账号信息并提交,系统会返回明确语句 “ 用户名不存在 ”
第二步:在系统登录页面中输入存在的账号信息及错误密码提交后,系统返回语句间接的提示了该账号 “密码 || 口令错误”
免责声明:
严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。
登录失败信息测试 :
测试原理和方法:
在用户登录系统失败时,系统会在页面显示用户登录的失败信息,假如提交账号在系统中不存在。系统提示 “用户名不存在”,“账号不存在” 等明确信息。假如提交账号在系统中存在,则系统提示 “密码 || 口令错误” 等间接提示信息。攻击者可以根据此类登录失败提示信息来判断当前登录账号是否在系统中存在,从而进行有针对性的暴力破解口令测试.
测试过程:
针对系统返回不同的登录失败提示信息进行逻辑分析,判断是否能够通过系统返回的登录失败信息猜测系统账号密码。
第一步:在系统登录页面中输入不存在的账号信息并提交,系统会返回明确语句 “ 用户名不存在 ”
第二步:在系统登录页面中输入存在的账号信息及错误密码提交后,系统返回语句间接的提示了该账号 “密码 || 口令错误”
修复建议:
对系统登录失败提示语句表达内容进行统一的模糊描述,从而提高攻击者对登录系统用户名及密码的猜测难度,如 “登录账号 或 密码错误” ,“ 系统登录失败 ”等。
学习的书籍:Web 攻防之业务安全实战指南.