Хранение неудачных попыток в сессии

Меня тут попросили проверить сайт, который явно взломали. На сайте есть двухфакторная авторизация, но ее явно обошли. Доступа к коду не предоставили, но я начал тестировать систему, и выяснилось, что при доступе к защищенной части сайта просят ввести 4-хзначное число. После четвертой попытки сайт блокирует меня. Но если выйти и войти после третьей попытки, то можно повторить процесс перебора числа заново. 

В общем, входим на сайт, делаем три попытки, выходим. Входим снова, делаем три попытки, выходим. Число не меняется, потому что это последние 4 цифры социального номера страхования американца. Делаем вывод, что для взлома нужно всего 9999 попыток максимум и блокировка реально не работает. Мне кажется, что количество неверных попыток просто сохраняется в сессии, и после выхода/входа сессия очищается и можно повторить все заново.

То же самое теоретически можно проделывать даже с кодами, которые выдаются на телефон. Взять три числа, можно одни и те же, запускать процесс входа. Если числа сообщаются через СМС, то реальный владелец аккаунта вскоре заметит косяк, а если это какое-то специальное приложение, то может и не заметить. 


Комментарии

zlobber

ну а эти цифирки переставлять не нужно,24 перестановки т.е 4! факториал, не


Добавить Комментарий

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповидания на русском или английском языке.

Пишите мне


Я в социальных сетях
Facebook Twitter Telegram Youtube Instagram