Web 攻防之业务安全:账号安全案例总结.

news2024/12/23 3:27:05

Web 攻防之业务安全:账号安全案例总结

业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全狭义的业务安全指业务系统自有的软件与服务的安全


目录

账号安全案例总结:

账号安全归纳:

账号和密码直接暴露在互联网上:

无限制登录任意账号:

电子邮件账号泄露事件:

中间人攻击:

撞库攻击:

防范账号泄露的相关手段:


免责声明:

严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。


账号安全案例总结:

账号安全归纳:

随着网络的快速发展,出现了种类繁多的网络应用,包括即聊天工具(QQ,MSN),网络商店,BBS论坛,网络游戏等。各类应用均需要身份识别,因为身份认证是网络信息安全的基本保证。网络服务器通过身份验证或访问控制的方式对合法注册用户进行授权,用户首先通过注册账号与密码成为网络服务器的合法用户,只有通过身份认证的用户才能访问资源,账号与密码成为各类网站应用必不可少的一部分,与此同时,账号和密码所面临的安全问题越来越多。

互联网上关于账号的安全问题日益突出,总结的关于账号安全的相关漏洞包括密码泄露,暴力破解,弱口令,密码重置,登录账号绕过,重放攻击,网络钓鱼,信息泄露,中间人攻击等。


账号和密码直接暴露在互联网上:

GitHub是一个分布式的版本控制系统,开发者可以通过上传项目的源代码,不过由于开发者的安全意识不足,可能会上传部分的敏感信息,包括邮件的账号密码,数据库的配置信息,管理员的密码,备份文件,重要的源代码等.

通过搜索引擎可灵活查找各类敏感信息,查找语句如下:

(1)邮件配置信息查询:site:Github.com smtp password

(2)数据库信息泄露:site:Github.com sa password

(3)SVN信息泄露:site:Github.com svn

(4)数据库备份文件:site:Github.com inurl:sql

(5)敏感文件查询:site:Github.com password


无限制登录任意账号:

由于各类应用的安全防护手段参差不齐,导致攻击者可以利用漏洞绕过登陆限制,或者利用已经认证的用户,通过修改身份ID登录页面账号(登录时抓包修改为别人账号 ID 可登录别人账号).


SQL注入漏洞可绕过登录限制

因网站登录处过滤不严格,导致存在注入漏洞,利用万能密码,可以绕过登录的限制成功登陆.

(1)在账号输入:(1)admin' or 1=1;     (2)1' or 1=1#

(2)密码:随便输入或者是为空


电子邮件账号泄露事件:

电子邮箱业务基于计算机和通信网的信息传递业务,利用电信号传递和存储信息,为用户传达电子信函,文件,数字,传真图像和数字化语言等各类行信息,电子邮件最大的特点是,人们可以在任何地方,任何时间收/发短信解决了时空的限制,大大提高了工作效率,为办公自动化商业活动提供了很大的便利,但电子邮件账号泄露,也将引发大量的信息泄露。

通过搜索引擎搜索互联网的文件:filetype:xls


中间人攻击:

中间人攻击,就是攻击者插入到人本直接通信的。双方中间让攻击者以为还在直接跟对方通信,但实际上双方的通信对象以变成攻击者,同时信息已经被攻击者获取或篡改,而中间人攻击不仅可以捕获 HTTP 未加密的传输数据,更可以捕获 HTTPS 协议加密的数据。

HTTPS 中间人攻击一般分为 SSL 连接建立前的攻击,以及 HTTPS 传输过程中的攻击。常见的 HTTPS 中间人攻击,会首先先结合 ARPDNS 欺骗,伪造 CA 证书等技术,来对会话进行拦截。

ARP欺骗实战:https://tianyuk.blog.csdn.net/article/details/123854709


SSL证书欺骗攻击

SSL 证书欺骗攻击是通过 DNS 劫持局域网 ARP 欺骗甚至网关劫持等技术,将用户的访问重定向攻击者的设备上让用户机器以攻击者机器建立连接,使用伪造 CA 的证书,而攻击者机器再跟 Web 服务端连接,这样攻击者的机器分别与用户和真正的服务器建立 SSL 连接。通过这两个连接之间转发数据,就能得到被攻击者和服务器之间相互的数据内容,但用户的浏览器会提示证书不可信,只要用户不点击继续就能避免被劫持。所以这是最简单的攻击方式,也是最容易被识破的攻击方式。


SSL劫持

将页面中的 HTTPS 超链接全部替换成 HTTP 版本,让用户始终以明文的形式进行通信,在现实生活中,用户在浏览器上输入域名,大概采取的是直接输入网址方式,从而会忽略该网站采取的采用的协议类型。HTTP 是以明文传输数据的,因此如果利用 SSL 劫持攻击,使 HTTPS 协议的网站降级到 HTTP,就能获取敏感数据。

有部分网站并非全部 HTTPS 采用协议,只是在需要进行敏感信息传输时才使用 HTTPS 协议,如登录认证,传输敏感身份数据等时候。中间人攻击者在劫持了用户与服务端的会话后,将 HTTP 页面里的所有 HTTPS 超链接都换成 HTTP, 用户单击相应的链接时,使用 HTTP 协议来进行访问,这样即使服务器对相应的 URL 只支持 HTTPS 链接时,但中间人攻击者一样可以和服务建立 HTTPS 连接之后,将数据使用 HTTP 协议转发给客户端,实现会话劫持.(可以使用SSLStrip工具进行劫持


撞库攻击:

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户名和密码结合,由于很多用户在不同的网站使用的是相同的账号和密码,因此黑客可以通过获取用户在 A网站 的账号从而尝试登录 B网站,这就可以理解为撞库攻击。

某知名公司子网站存在撞库风险

第一步:某知名公司官方网站,用户登录有验证码校验机制,但有个子网站没有限制登录次数,因此可利用该子网站进行撞库攻击,在该子网站验证成功后再返回主网站进行登录。

第二步:利用 Burp Suite 抓捕到的数据包通过 intruder 模块进行撞库攻击.(暴力破解

第三步:利用该子网撞库攻击的效果,返回主网站尝试登录.


防范账号泄露的相关手段:

(1)核查数据库中的账号和密码存储方式,自行加密用户敏感数据,严格限制数据库的访问条件,禁止外部连接数据库.

(2)采用 HTTPS 协议对账户认证过程实现加密封存,确保身份认证过程中无法被窃取.

(3)加强网络信息安全意识,网络管理人员对内部员工进行安全意识培训,禁止使用弱口令,禁止公开个人账号密码,定期修改密码.

(4)使用数字证书认证,数字证书是通过运用对称或非对称密码体系等密码技术建立起一个严格的身份认证系统,从而保证信息除发送方和接收方外不被其他人窃取.

(5)了解互联网账号泄露事件,存在账号泄露事件第一时间通知客户修改个人账号和密码,避免撞库攻击。

(6)加强对网站的安全保护能力,定期进行安全评估和升级更新,避免攻击者利用漏洞确获取账户信息.

      

    

学习的书籍:Web 攻防之业务安全实战指南.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/425753.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)

🍬 博主介绍 👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 养成习…

HCIP-6.5BGP路由聚合原理及配置

HCIP-6.5BGP路由聚合原理及配置1、BGP路由聚合原理1.1、自动汇总1.2、手动聚合1.2.1、利用静态路由进行聚合1.2.2、BGP的专有工具Aggregate1、BGP路由聚合原理 在实际运行的网络中,BGP路由表十分庞大,对于设备而言是很大的负担,同时使发生路…

Flutter Flex(Row Column,Expanded, Stack) 组件

前言 这个Flex 继承自 MultiChildRenderObjectWidget,所以是多子布局组件 class Flex extends MultiChildRenderObjectWidget {} Flex 的子组件就是Row 和 Column , 之间的区别就是Flex 的 direction 设置不同。 它有两个轴,一个是MainAxis 还有一个是交…

ubuntu下Thrift安装

thrift是一种常用rpc框架,工作中经常会用到,本文记录一下其安装过程。 目录 1.下载软件包 1.1thrift下载 1.2libevent下载 1.3boost下载 2.安装(注意步骤) 2.1安装libevent 2.2安装boost 2.3安装与Python2.7版本对应的py…

Vue+element Upload利用http-request实现第三方地址图片上传

vue第三方地址图片上传后端图片上传接口开发postman测试图片上传 Vue element (el-upload)中的:http-request图片上传java后端上传接口,利用OSS存储图片postman测试图片上传功能及方法 Vueelement Upload利用http-request实现第三方地址图片上传vue第三方地址图片上…

《花雕学AI》ChatGPT跟人类的思考方式有什么不同?

一、ChatGPT是一个基于GPT-3.5的对话语言模型,它可以根据用户的输入生成多轮对话,也可以生成文本、代码、音乐等内容。ChatGPT的思考方式是利用大量的数据和强大的算力来学习语言的联合概率分布,从而能够根据上下文和目标生成合理和有趣的回复…

python开发岗位需求分析,来看看它是什么一个情况吧

前言 嗨喽~大家好呀,这里是魔王呐 ❤ ~! 1.导入模块 import pandas as pd from pyecharts.charts import * from pyecharts import options as opts import matplotlib.pyplot as plt plt.rcParams[font.sans-serif][SimHei] plt.rcParams[axes.unicode_minus]Fal…

WRF模式与Python融合技术在多领域中的应用及精美绘图

当今从事气象及其周边相关领域的人员,常会涉及气象数值模式及其数据处理,无论是作为业务预报的手段、还是作为科研工具,掌握气象数值模式与高效前后处理语言是一件非常重要的技能。WRF作为中尺度气象数值模式的佼佼者,模式功能齐全…

目标检测算法——YOLOv5/v7/v8改进结合即插即用的动态卷积ODConv(小目标涨点神器)

&#x1f496;&#x1f496;>>>加勒比海带&#xff0c;QQ2479200884<<<&#x1f496;&#x1f496; &#x1f340;&#x1f340;>>>【YOLO魔法搭配&论文投稿咨询】<<<&#x1f340;&#x1f340; ✨✨>>>学习交流 | 温澜潮…

JS遍历数组里数组下的对象,根据数组中对象的某些值,组合成新的数组对象

前言: 大部分后端返回给前端的数据,是json形式的。里边包含了响应码,响应信息,有些还会返回数组对象等。现在有一个业务场景,我调用明细查询接口,返回的数据是一个对象数组的形式,但是我只需要对象中的某些属性值。这个时候我就需要想办法提取我所需要的值,然后组合成一…

吐血奉献精心整理的一大波数据集

80开源数据集资源汇总&#xff08;包含目标检测、医学影像、关键点检测、工业检测等方向&#xff09; 数据集下载汇总链接&#xff1a;https://www.cvmart.net/dataSets数据集将会不断更新&#xff0c;欢迎大家持续关注&#xff01; 小目标检测 AI-TOD航空图像数据集 数据集…

一例H-worm vbs脚本分析

样本的基本信息 MD5: c750a5bb8d9aa5a58c27956b897cf102 SHA1: e14994b9e32a3e267947cac36fb3036d9d22be21 SHA256: 1eb712d4976babf7c8cd0b34015c2701bc5040420e688911e6614b278cc82a42 SHA512: b1921c1dc7e8cf075882755be48c0d9636858cd7913188cb6c9ca6e7e741f049c143a79c683…

有哪些比较不错的AI绘画网站?

AI绘画最近非常流行。目前&#xff0c;互联网上有许多主流的人工智能绘画网站&#xff0c;但你都知道吗&#xff1f; 如果您正在寻找一个基于最先进智能技术的人工智能绘画网站&#xff0c;并介绍五个智能、现实和高效于一体的人工智能绘画网站。 1.即时AI 即时AI绘画是指通…

《RockectMQ实战与原理解析》Chapter4-分布式消息队列的协调者

4.1 NameServer 的功能 NameServer 是整个消息队列中的状态服务器&#xff0c;集群的各个组件通过它来了解全局的信息 。 同时&#xff0c;各个角色的机器都要定期向 NameServer 上报自己的状态&#xff0c;超时不上报的话&#xff0c; NameServer 会认为某个机器出故障不可用了…

基于OBS超低延迟直播实测(400毫秒左右)超多组图

阿酷TONY&#xff0c;原创文章&#xff0c;长沙。 文章简述&#xff1a;本文介绍使用OBS无延迟直播插件在第三方云平台&#xff0c;如何实现超低延时直播的完整教程&#xff08;延迟约为400毫秒左右&#xff0c;通常延迟是3-15秒&#xff09;。 OBS简要介绍 OBS&#xff08;O…

vue3+vite3+typescript实现验证码功能及表单验证

文章目录验证码组件父组件表单验证最终效果验证码组件 <template><div class"captcha" style"display: flex;"><canvas ref"canvas" width"100" height"40"></canvas></div><div class&qu…

LeetCode 1019. Next Greater Node In Linked List【单调栈模板】中等

本文属于「征服LeetCode」系列文章之一&#xff0c;这一系列正式开始于2021/08/12。由于LeetCode上部分题目有锁&#xff0c;本系列将至少持续到刷完所有无锁题之日为止&#xff1b;由于LeetCode还在不断地创建新题&#xff0c;本系列的终止日期可能是永远。在这一系列刷题文章…

如何实现视觉识别颜色

1. 功能说明 通过摄像头识别特定颜色&#xff08;红、绿、蓝&#xff09;。摄像头采集图像信息并通过WiFi将信息传递给PC端&#xff0c;然后PC端根据比例判断出目标颜色在色盘上的所属颜色后&#xff0c;指针便会指向对应颜色。 红、绿、蓝-色块2. 电子硬件 本实验中采用了以下…

网络编程【TCP流套接字编程】

目录 TCP流套接字编程 1.ServerSocket API 2.Socket API 3.TCP中的长短连接 4.回显程序(短连接) 5.服务器和客户端它们的交互过程 6.运行结果及修改代码 TCP流套接字编程 ❗❗两个核心&#xff1a;ServerSocket Socket 1.ServerSocket API ✨ServerSocket 是创建…

RK3568平台开发系列讲解(Linux系统篇)Linux 目录结构介绍

🚀返回专栏总目录 文章目录 一、 linux 目录结构二、 linux 文件层次标准三、 linux 目录结构沉淀、分享、成长,让自己和他人都能有所收获!😄 📢本篇我们从目录管理入手,会更直观的理解 linux 的目录结构。 一、 linux 目录结构 Linux 整个文件系统是以“ / ”目录开…