穷举帐号尝试登陆系统,为了什么?

[网络安全] 季雨林 2019/9/30 9:29:04

一般来说,登录接口被爆破(暴力破解),往往是为了通过穷举法获取到正确的密码,因此登录接口往往需要做“同一账号”错误次数限制。然而今天的案例有所不同:暴力穷举的对象不是密码属性,而是账号字段!


暴力穷举帐号,来尝试登陆系统,这是为了什么?


这个情况很久之前一个同学遇到过,登录接口限制方面的业务特征为:

1,登陆接口不带验证码

2,登陆接口没有单客户端错误次数低限制

3,登陆接口没有对“同一账号”的密码错误次数进行限制

4,登陆接口没有ip错误次数总限制

5,登陆接口,在帐号不存在的情况,返回了可识别帐号是否存在的提示


这几个个特征里,危险点在于最后一条:

“在帐号不存在的情况,返回了可识别帐号是否存在的提示”可以被黑产利用,垃圾帐号洗白!

穷举帐号可以达到的结果:

1,在随机生成帐号或者已有非针对性帐号的时候,可以识别到其中哪些是真实存在的帐号!

推测用途:用来针对系统用户发送钓鱼连接信息等等

2,先知道这个帐号是否存在,下一步再暴力破解该帐号密码?

推测用途:比如游戏公司的同学遇到的案例!先获取到帐号,在针对帐号暴力破解!



原文地址: https://www.opengps.cn/Blog/View.aspx?id=469 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

评论

暂无评论!

发表评论:

用于接收作者回复信息
点击更换验证码 - openGPS提示

AD