测试出来的一些安全性bug 但是看不明白
各位帮我看看应该从什么方面解决
1.
原话是:登录错误信息凭证枚举。
我网上查了一下是
"当用户输入无效的用户名和无效的密码时,应用程序会分别生成不同的错误信息。通过利用该行为,攻击者可以通过反复实验(蛮力攻击技术)来发现应用程序的有效用户名,再继续尝试发现相关联的密码,这样会得到有效用户名和密码的枚举,攻击者可以用来访问账户"
2. 会话标识未更新
------解决方案--------------------1、验证码,像CSDN登录的那样可以解决吧。
------解决方案--------------------我也需要!
------解决方案--------------------期待高手。
------解决方案--------------------
1.多此一举...例如(伪码)...
C# code
if(name!=auth.Name){
//抛出登录名不匹配异常或显示登录名不匹配验证信息
}
if(passwd!=auth.Password){
//抛出密码不匹配异常或显示密码不匹配验证信息
}
------解决方案--------------------
限制一段时间内登录次数
------解决方案--------------------
六楼的正解了,结贴吧。
总之不要多此一举的给客户端返回详细的错误信息。