后台口令暴力破解

由于网站管理后台系统登录无验证码校验,可导致后台用户名密码被暴力破解。

可带来如下危害:

  1. 攻击者可利用该漏洞无限次提交用户名密码,从而可以暴力破解后台用户名及密码;
  2. 暴力破解后登录其中一个帐号可进管理后台,攻击者登录网站后台任意增删文章等造成负面影响;
  3. 攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件,获取服务器权限,导致局域网(内网)被入侵。

修复建议:

  1. 对该页面进行访问控制,禁止外网IP或非法IP访问后台页面,并增加验证码校验,加强帐号锁定机制。
  2. 增加ip+cookie配置方式限制访问频率。

results matching ""

    No results matching ""