Об ИТ из Канады

Блог Михаила Флёнова - программист, блогер, автор нескольких скандальных книг какими-то глазами...

Хранение неудачных попыток в сессии

2017-10-28 22:22:31 / Безопасность

Меня тут попросили проверить сайт, который явно взломали. На сайте есть двухфакторная авторизация, но ее явно обошли. Доступа к коду не предоставили, но я начал тестировать систему, и выяснилось, что при доступе к защищенной части сайта просят ввести 4-хзначное число. После четвертой попытки сайт блокирует меня. Но если выйти и войти после третьей попытки, то можно повторить процесс перебора числа заново. 

В общем, входим на сайт, делаем три попытки, выходим. Входим снова, делаем три попытки, выходим. Число не меняется, потому что это последние 4 цифры социального номера страхования американца. Делаем вывод, что для взлома нужно всего 9999 попыток максимум и блокировка реально не работает. Мне кажется, что количество неверных попыток просто сохраняется в сессии, и после выхода/входа сессия очищается и можно повторить все заново.

То же самое теоретически можно проделывать даже с кодами, которые выдаются на телефон. Взять три числа, можно одни и те же, запускать процесс входа. Если числа сообщаются через СМС, то реальный владелец аккаунта вскоре заметит косяк, а если это какое-то специальное приложение, то может и не заметить. 


Комментарии

zlobber

ну а эти цифирки переставлять не нужно,24 перестановки т.е 4! факториал, не

2017-10-29 14:49:18

Оставить комментарий


Умеешь пользоваться BB кодами? Прекрасно, здесь можно использовать [quote] для цитирования, а так же [b] и [i]. Остальные коды пока использовать запрещено. Я думаю по поводу их использования. В комментариях нельзя выяснять крутость каких-либо продуктов, нужно уважать собеседников и не грубить и нельзя ничего додумывать (читайте мои посты внимательно). Нарушение этих простых правил ведет к удалению комментариев без предупреждения.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Внимание!

А ты уже читал мою последнюю книгу о больших сайтах и приложениях? Узнай, что это такое здесь

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповидания на русском или английском языке.

Пишите мне