作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。
app客户端评估-登录信息返回模糊化
测试描述
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。
测试工具
任意模拟器、手机
BurpSuite
检查方法
在系统登录页面,通过手工方式,(注:利用工具和字典直接跑更方便,通常能枚举出来的用户名,一般密码都是弱口令)利用系统中存在的用户名和不存在的用户名,密码随意,尝试登录,查看其回显内容。例如:输入存在的用户名admin,回显如下:密码错误;输入不存在的用户名test,回显如下:用户不存在。如图所示:
风险判定
中风险:
服务端返回信息存在差异(例如返回“用户不存在”或“密码错误”),可以帮助攻击者判断账号是否存在
无风险:
服务端返回信息不存在差异(例如仅返回“账号或密码不正确”),攻击者无法通过服务端返回判断账号是否存在
修复方案
该安全问题是由于开发人员,缺乏从安全的角度思考导致一个算是安全策略问题,所以按照以下修复即可
统一身份验证失败时的响应,如:用户名或密码错误。
原文始发于微信公众号(漏洞404):app客户端评估-登录信息返回模糊化
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论