登录可能存在哪些问题:
01:登录没有做次数限制,可被暴力破解。[出自:jiwo.org]
02:登录不安全的提示,可猜测用户名和密码是否合法。
03:登录验证码失效,可被暴力破解。
04:登录验证码过于清晰,可被识别。
05:手机短信登录,验证码可被爆破。
06:手机短信登录,服务器验证码回显。
07:手机短信登录,验证码可重复使用。
08:手机短信登录有次数限制,末尾加任意字符,未做提纯可爆破。
09:登录忘记密码短信验证,session 覆盖测试。
10:登录忘记密码,邮箱验证并收取修改密码连接,连接 token 可猜解问题。
11:回答密保的登录和找回密码,密保答案可查源码获取。
12:登录是否成功,根据服务器返回的状态码做判断。
13:登录返回的权限级别,修改可越权。
14:登录 sessionid 有规律,可被猜解。
15:登录 sessionid 为固定的会话。
16:登录后退出,sessionid 没有清空,可回退。
17:登录的 cookie 可修改账号权限或不同的账号。
18:登录的 sessionid 存在于 url 中。
19:登录的错误提示从 url 中获取,可反射 xss。
20:登录的错误账号密码会暂存网页中,可存储 xss。
21:登录账号和明文没有进行加密和 HTTPS,明文传输。
22:密文对比认证,js 加密账号密码传入后台存储数据库。
23:登录没有对账号和密码做过滤,直接拼接导致 sql 注入。
24:多点登录,同一个账号可多个地点进行登录。
25:登录功能失效,可直接未授权访问后台。
26:账号密码网上泄露,googlehack 公开可查询。
27:注册覆盖,只做 js 校验,可被绕过注册,登录他人账号。
登录防范措施:
01:提示要安全,账号或密码错误,login fail 等。
02:账号密码要做次数限制,如 1 小时内登录错误次数超过 5 次则禁用 1 小时。手机号登录需正则验证,避免被绕过次数限制。如若有验证码,则验证码干扰元素避免简单被识别的风险。
03:账号密码登录需加密或使用 HTTPS,且不可前端加密,后台直接存储,避免暴露加密算法,建议前台加密后,后端再进行加密加盐的方式来处理。
04:登录的账号和密码需做特殊字符的处理,避免产生 sql 注入。
05:登录的提示信息应该由服务器返回提示,避免从 url 中获取,产生反射跨站。
06:登录的账号密码如果错误,不应该暂存到网页中,避免产生存储跨站。
07:手机登录的验证码避免回显给客户端,且验证码在规定的时间内有效,且只能使用一次。
08:如若有 token 错误,且 token 需要足够加密,不建议使用私有的算法,业界公认的强加密更能经得住考验。建议使用 burp 的 sequencer 进行检测。
09:登录过程中需要的参数需要做好足够的校验,避免产生 session、cookie、code 等参数的篡改,造成越权问题,后台做好全局校验,避免未授权。
10:管理员和开发需提高安全意识,禁止公开账号和密码,禁止上传源码到 github 等平台,避免账号密码可公开搜索的问题。
11:系统用户的密码,如果业务安全有较高的要求,可强制用户规定时间内必须修改密码,且符合复杂度要求。
