暴力猜解突破梦洁家纺BIS系统 - 网站安全 - 自学

目标：梦洁家纺第三方应用—BI系统

爆破理由：

1、鉴于前面两条 漏洞 ，说明密码强度不够；

2、登录界面无验证码；

3、暂未发现登录错误次数限制。

登陆界面有两种登录方式：管理员和用户(区别在于登录时是否勾选[管理员登录])。

 

打开burp，先尝试管理员登录(勾选[管理员登录]):

 

分别挂上用户名和密码文件，不一会：

 

先暂停爆破，去登陆界面登录试试，发现被禁用：

 

无奈，继续尝试用户登录(不勾选[管理员登录])，过程同上一致，不一会：

 

果断登录（居然还是个老总！！！）：

 

 

修复方案：

文中3点理由，至少得整改一条吧？

查看更多关于暴力猜解突破梦洁家纺BIS系统 - 网站安全 - 自学的详细内容...