Web应用安全测试-爆破猜解

邮件内容中请求链接可预测

漏洞描述：邮件中的重置密码等链接可预测，导致链接可以直接被猜解访问。

测试方法：

1. 先按照正常流程重置密码，接收重置密码邮件，分析重置链接的构造。
2. 通常情况下链接中会使用token参数使得链接具有唯一性，判断该参数是否可预测。如用户名的md5值，用户名+时间戳的md5值等。

风险分析：攻击者通过猜测重置密码链接可重置他人账户的密码。

风险等级：

【高危】：存在需要收件人点击确认的链接中，无安全随机数，或 token 简单可预测。

修复方案：重置密码链接中的token使用安全随机数

注意事项：暂无

账号枚举

测试方法：

1. 找到网站或者web系统登录页面。
2. 在web系统登录页面，通过手工方式，利用系统中存在的用户名和不存在的用户名，密码随意，尝试登录，查看其回显内容。例如：输入存在的用户名admin，回显如下：密码错误；输入不存在的用户名test，回显如下：用户不存在。如图所示：

        

风险分析：攻击者根据Web应用程序返回的上述提示信息即可枚举系统中存在的登录用户名，然后针对枚举出来的登录用户名，对其密码进行暴力破解。

风险等级：

【低危】：可通过返回关键字对系统可用账号进行枚举。

修复方案：建议对网站登录页面的判断回显信息修改为一致：用户名或密码错误。

注意事项：暂无

账号密码共用

漏洞描述：不同的业务系统存在相同的用户名密码，或者不同用户名使用相同的初始密码。

测试方法：使用同一个用户名密码登录不同业务系统，看是否均可成功登录。

风险分析：攻击者在得到一个业务系统的用户名密码后可尝试登录其他业务系统，造成其他业务系统信息泄漏。或者使用初始密码遍历用户名，批量获取可登录系统的用户名密码。

风险等级：

【高危】：多台服务器的后台或其他服务口令相同。

【高危】：不同用户名使用相同初始密码，且第一次登录未强制密码修改或强制修改机制可绕过继续使用初始密码。

【低危】：同样的账户名密码可以在多个系统上登录。

修复方案：

1. 设置每个账号的初始密码均不同，且不可预测。
2. 不同业务系统采用不同的账号密码体系。

注意事项：暂无

明文传输

漏洞描述：认证过程中传输未加密（用户名密码等敏感数据明文传输）。

测试方法：

1. 找到网站或者Web系统登录页面
2. 通过对网站登录页面的请求进行抓包，工具可用burp、wireshark、filder、等等，分析其数据包中相关password（密码）参数的值是否为明文。如图利用wireshark抓包分析的密码：

      

风险分析：攻击者通过在局域网中嗅探网络流量，获取明文传输的认证凭证，如用户名密码、SESSIONID等敏感信息。

风险等级：

【中危】：传输数据包含明文密码、链接、明文身份证、明文地址等其他敏感信息。

【中危】：GET方式明文传输用户名密码。

【中危】：Token或者用户身份标识，以GET方式显示在URL中。

修复方案：建议按照网站的密级要求，需要对密码传输过程中进行加密得使用加密的方式传输，如使用HTTPS，  但加密的方式增加成本，或许会影响用户体验。如果不用 HTTPS，可以在网站前端用 Javascript 做密码加密，加密后再进行传输。

注意事项：暂无

会话变量泄漏

漏洞描述：登录、验证等页面的隐藏域中存在密码信息。

测试方法：查看网页源代码，寻找隐藏域中是否存在密码等信息。

风险分析：攻击者通过在局域网中嗅探网络流量，获取明文传输的认证凭证，如用户名密码。

风险等级：

【高危】：隐藏域中存在密码等信息

修复方案：禁止在前端页面中保存密码等敏感信息。

注意事项：暂无

存在弱口令

漏洞描述：认证登录环节存在弱口令

测试方法：

1. 找到网站登录页面，尝试输入常见弱口令；
2. 根据网站所使用的第三方组件，寻找特定的弱口令或默认口令进行登录。

风险分析：攻击者可利用互联网公开的常见弱口令尝试登录管理后台，对网站造成一定的影响。

风险等级：

【高危】：存在弱口令

修复方案：禁止使用弱口令，口令应满足一定的复杂度。

注意事项：暂无

暴力破解

漏洞描述：暴力破解的基本思想是根据题目的部分条件确定答案的大致范围，并在此范围内对所有可能的情况逐一验证，直到全部情况验证完毕。若某个情况验证符合题目的全部条件，则为本问题的一个解；若全部情况验证后都不符合题目的全部条件，则本题无解。常常存在于网站的登录系统中，通过对已知的管理员用户名，进行对其登录口令的大量尝试。

测试方法：

1. 找到网站登录页面。
2. 利用burp对登录页面进行抓包，将其发送到Intruder,并设置其密码参数，如pwd=为变量，添加payload（字典），进行攻击，攻击过程中查看其返回的字节长度，来判断是否成功。攻击效果如图所示：

      

一般情况下，暴力破解有三种形式：

1)    固定账号对密码暴力破解。

2)    在得知账号具有规律性，或者通过某种方式获取到大量账号的前提下，固定密码对账号暴力破解。

3)    使用网上流传的账号密码库进行撞库攻击。

风险分析：攻击者一般会使用自动化脚本组合出常见的用户名和密码，即字典，再结合软件burpsuite的intruder功能进行暴力破解。

风险等级：

【中】：存在暴力破解风险，但未暴破出密码。

修复方案：防止暴力攻击的一些方法如下：

1. 账户锁定

账户锁定是很有效的方法，因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为，那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。如果对已经锁定的账户并不返回任何信息，可能迷惑攻击者。

1. 返回信息

如果不管结果如何都返回成功的信息，破解软件就会停止攻击。但是对人来说很快就会被识破。

1. 页面跳转

产生登录错的的时候就跳到另一个页面要求重新登录。比如126和校内网都是这样做的。局限性在于不能总是跳转页面，一般只在第一次错误的时候跳转，但是第一次之后又可以继续暴力探测了。

1. 适当的延时

检查密码的时候适当的插入一些暂停，可以减缓攻击，但是可能对用户造成一定的影响。

1. 封锁多次登录的IP地址

这种方法也是有缺点的，因为攻击者可以定时更换自己的IP。

1. 验证码

验证码是阻止暴力攻击的好方法，但设计不好的验证码是可以绕过的，而且对于特定目标的手工探测来说验证码是没有作用的。

注意事项：暂无