一般来说,登录接口被爆破(暴力破解),往往是为了通过穷举法获取到正确的密码,因此登录接口往往需要做“同一账号”错误次数限制。然而今天的案例有所不同:暴力穷举的对象不是密码属性,而是账号字段!
暴力穷举帐号,来尝试登陆系统,这是为了什么?
这个情况很久之前一个同学遇到过,登录接口限制方面的业务特征为:
1,登陆接口不带验证码
2,登陆接口没有单客户端错误次数低限制
3,登陆接口没有对“同一账号”的密码错误次数进行限制
4,登陆接口没有ip错误次数总限制
5,登陆接口,在帐号不存在的情况,返回了可识别帐号是否存在的提示
这几个个特征里,危险点在于最后一条:
“在帐号不存在的情况,返回了可识别帐号是否存在的提示”可以被黑产利用,垃圾帐号洗白!
穷举帐号可以达到的结果:
1,在随机生成帐号或者已有非针对性帐号的时候,可以识别到其中哪些是真实存在的帐号!
推测用途:用来针对系统用户发送钓鱼连接信息等等
2,先知道这个帐号是否存在,下一步再暴力破解该帐号密码?
推测用途:比如游戏公司的同学遇到的案例!先获取到帐号,在针对帐号暴力破解!
原文地址:
https://www.opengps.cn/Blog/View.aspx?id=469
文章的更新编辑依此链接为准。欢迎关注源站原创文章!