- Acunetix Web Vulnerability Scanner 10.5
- Login page password-guessing attack漏洞
- ASP.NET WebForm排除方法
該軟體跑這項Script的攻擊方法很賊
因為它不是乖乖在網頁上輸入
而是利用網址帶GET參數的方式,來直接對你的頁面不斷的攻擊
並且會輸入網站系統本身不存在的帳號
也因此利用帳號鎖定的方式是不管用的
它仍會無情的丟出Alert給你
本人解套的辦法是使用 ASP.NET Application 物件,記錄該輸入帳號錯誤的輸入次數
若輸入達到一定次數以上,便導向另一個頁面,告知使用者輸入錯誤的次數已達上限。
另外要注意的一點
你的登入頁面是否還有其他的按鈕或元件,即使你登入的事件加入了防禦,其他按鈕也會可能被該軟體下其毒手
本人的情境就是在「登入按鈕」加上了防禦後,仍被掃出漏洞
一查報告說明居然是登入按鈕旁邊的「取消按鈕」躺著也中槍
於是也補上去再掃描一次便不會出現了
解除的方式當然是將該Application歸0,便可解除鎖定。
至於是要隔一段時間歸0,還是由系統管理者來解除,便看客戶需求或是情境而定了
Acunetix
https://www.acunetix.com/vulnerabilities/web/login-page-password-guessing-attack
Blocking Brute Force Attacks - OWASP
https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks
Login page password-guessing attack 密码猜测攻击-CSDN论坛
http://bbs.csdn.net/topics/390709877
[ASP.NET]ViewState、Session、Cookies、Application State比較 | In 91 - 點部落
https://dotblogs.com.tw/hatelove/2009/06/28/viewstate-session-cache-cookies-application-of-user-state
沒有留言:
張貼留言