登录对抗 - 账号安全

  这里以用户名枚举、弱口令为例,验证码等相关问题详见逻辑漏洞模块

漏洞场景:用户名枚举

tips
  这里以本项目中Spring Security配置为例,实现UserDetailsService需要重写loadUserByUsername方法,return返回的内容如果是"用户名不存在",则攻击者可以根据返回内容进行枚举用户名,根据存活用户名进行下一步密码爆破
测试结果

                                        

缺陷代码

漏洞场景:弱口令问题

tips
  尽管现代Web应用采用了多种安全架构、编码规范和框架,并部署了防火墙、IDS/IPS等安全防护措施,弱口令(如测试账号、默认密码、常见密码)依然是一个普遍的安全隐患。攻击者可以通过简单的暴力破解或字典(社工收集)攻击轻松突破认证。事实上,许多攻防演练的突破口仍然集中在弱口令……
测试结果

                                        

缺陷代码