Ăn lễ Quốc khánh 2/9 no say rồi tiếp tục với phần 1 tại https://securityzone.vn/t/mot-so-van-e-xung-quanh-tinh-xac-thuc-authentication-phan-1.12573/
Phía bên dưới tôi có đưa ra một số từ viết tắt được sử dụng trong bài là gì, còn về cụ thể nó là gì thì tôi trông chờ ở bạn.
4. Sử dụng thông tin xác thực mặc định (default credential)
Có thể tham khảo password list tại một số nguồn:
www.cirt.net
5. Chức năng "Remember me"
Giải pháp ta có thể sử dụng là tắt nó đi, tức autocomplete='off'.
Họ có thể sẽ sử dụng localStorage.setItem() để thêm dữ liệu tài khoản mật khẩu vào local web storage hoặc sessionStorage
Để giải quyết thì chúng ta có thể cân nhắc đến sử dụng mã hoá.
Thì cookie sẽ chứa thông tin về tài khoản, mật khẩu (credential) nhưng phải được mã hoá
6. Chức năng "Forget password"
7. Chức năng logout
Ứng dụng web cần phải luôn "dọn dẹp" những tài nguyên đã sử dụng trong phiên (session) sau khi người dùng đã logout.
Đảm bảo các nội dung/dữ liệu trong phiên được xoá (bao gồm cả sessionID)
8. CAPTCHA
Phần CAPTCHA này tôi sẽ cung cấp một số CVE và tool có thể hữu ích cho việc "crack" CAPTCHA.
Có thể tham khảo một số CVE:
Một số công cụ có thể hữu ích trong mảng CAPTCHA:
**Giải thích một số thuật ngữ/từ viết tắt được sử dụng bên trên:
MITM: Man-In-The-Middle
CVE: Common Vulnerabilities and Exposures
Phía bên dưới tôi có đưa ra một số từ viết tắt được sử dụng trong bài là gì, còn về cụ thể nó là gì thì tôi trông chờ ở bạn.
4. Sử dụng thông tin xác thực mặc định (default credential)
Có thể tham khảo password list tại một số nguồn:
bAdmin Project - The "bad admin" project
web.archive.org
Default Passwords | CIRT.net
5. Chức năng "Remember me"
- Browser cache
Giải pháp ta có thể sử dụng là tắt nó đi, tức autocomplete='off'.
- Web storage
Họ có thể sẽ sử dụng localStorage.setItem() để thêm dữ liệu tài khoản mật khẩu vào local web storage hoặc sessionStorage
Để giải quyết thì chúng ta có thể cân nhắc đến sử dụng mã hoá.
- Cookie
Thì cookie sẽ chứa thông tin về tài khoản, mật khẩu (credential) nhưng phải được mã hoá
6. Chức năng "Forget password"
- Đường dẫn có thể đoán được password
- Sử dụng token dễ đoán
- Tái sử dụng đường dẫn để thực hiện chức năng quên mật khẩu
7. Chức năng logout
Ứng dụng web cần phải luôn "dọn dẹp" những tài nguyên đã sử dụng trong phiên (session) sau khi người dùng đã logout.
Đảm bảo các nội dung/dữ liệu trong phiên được xoá (bao gồm cả sessionID)
8. CAPTCHA
Phần CAPTCHA này tôi sẽ cung cấp một số CVE và tool có thể hữu ích cho việc "crack" CAPTCHA.
Có thể tham khảo một số CVE:
Đang tải…
www.cvedetails.com
Đang tải…
www.cvedetails.com
Đang tải…
www.exploit-db.com
Một số công cụ có thể hữu ích trong mảng CAPTCHA:
Đang tải…
cintruder.03c8.net
Đang tải…
www.debasish.in
Đang tải…
boyter.org
**Giải thích một số thuật ngữ/từ viết tắt được sử dụng bên trên:
MITM: Man-In-The-Middle
CVE: Common Vulnerabilities and Exposures
Bài viết liên quan
Được quan tâm
Bài viết mới