7类 登录/注册 安全漏洞

一、验证方式可绕过

常见的验证方式有：验证码（字符或数值计算），滑动验证（滑块或特定路径），点击验证（按照要求点击字符或图案）等。

再次发送该请求，查看响应结果

结果如上图，说明验证码无效，可以重复利用该请求恶意批量注册（类似短信轰炸）

修复建议：

1、增强验证码机制，为防止验证码被破解，可以适当增加验证码生成的强度，例如中文图形验证码。 2、限制一定时间内IP登录失败次数。

二、账号可枚举

漏洞描述:

接口对于不同的账号、密码返回的数据不一样，攻击者可以通过回显差异进行用户名的枚举，拿到账户名之后，再进行密码的爆破

修复建议

1、用户名或密码输入错误均提示“用户名或密码错误”，防止黑客获取到注册用户信息。 2、限制用户登录失败次数。 3、限制一定时间内IP登录失败次数

三、密码未加密

四、手机验证码可爆破

漏洞描述

对验证码输入错误次数没有做任何限制+验证码的时效性高于爆破时间

修复建议：

1.点击获取手机验证码后产生即时更新强图形验证码 2.限制输入错误次数 3.缩短验证码的有效期

五、短信轰炸

漏洞描述

修复建议：

1.后端对同一手机号在某段时间只能发送一条短信，并且设置发送次数的上限

六、覆盖注册

七、任意用户密码重置

使用session对当前用户的权限做校验