欲知问题答案,请访问http://mdsec.net/wahh。
(1)在测试一个使用joe和pass证书登录的Web应用程序的过程中,在登录阶段,在拦截代理服务器上看到一个要求访问以下URL的请求:
http://www.wahh-app.com/app?action=login&uname=joe&password=pass
如果不再进行其他探测,可以确定哪3种漏洞?
(2)自我注册功能如何会引入用户名枚举漏洞?如何防止这些漏洞?
(3)一个登录机制由以下步骤组成:
(a)应用程序要求用户提交用户名和密码;
(b)应用程序要求用户提交值得纪念的词中的两个随机选择的字母。
应用程序为何要求用户分两个阶段提供所需的信息?如果不这样做,登录机制将存在什么缺陷?
(4)一个多阶段登录机制要求用户首先提交用户名,然后在后续阶段中提交其他信息。如果用户提交任何无效的数据,立即返回到第一个阶段。
这种机制存在什么缺点?如何修复这种漏洞?
(5)应用程序在登录功能中整合了反钓鱼机制。注册过程中,每名用户从应用程序提供的大量图片中选择一幅特殊的图片。登录机制由以下步骤组成:
(a)用户输入其用户名和出生日期;
(b)如果这些信息无误,应用程序向用户显示他们选择的图片,如果信息有误,随机显示一幅图片;
(c)用户核实应用程序显示的图片,如果图片正确,输入他们的密码。
反钓鱼机制的作用在于:它向用户确认,他们使用的是真实而非“克隆”的应用程序,因为只有真正的应用程序才能显示正确的图片。
反钓鱼机制给登录功能造成什么漏洞?这种机制能够有效阻止钓鱼攻击吗?
[1] CAPTCHA项目是 Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,已由卡内基梅隆大学注册商标。CAPTCHA是区分计算机和人类的一种程序算法,这种程序必须能生成并评价人类能很容易通过但计算机却通不过的测试。这个要求本身就是悖论,因为这意味着一个CAPTCHA必须能生成一个它自己不能通过的测试。——译者注
[2] 社会工程(Social Engineering)是一种利用人的弱点(如人的本能反应、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段),获取自身利益的攻击方法。——译者注