高恪WEB后台登录两处安全问题

Matrix · 发表于 2017-7-31 17:15:10

1.POST提交密码未做本地的加密和加盐。遭遇中间人攻击，密码100%会泄露。

2.登录页未做暴力破解的相关保护（密码错误禁止在一定时间内访问页面等），造成遇到攻击时，CPU占用率飙升。
相当于一旦管理域名或者序列号泄露之后，后果严重。

连接数飙升（取决于实际并发线程，线程越多，连接数越多，释放不及时会造成连接池溢出）

CPU占用率飙升。
此时WEB登录页响应缓慢。
唯一欣慰的而是背景图片存在高恪自己的UPDATE服务器上，如果存在本地路由器，并且不做任何限制的话
可以用HTTP无限请求这些图片，然后你懂得，带宽资源很快被这些请求占用完。

zwd0718 · 发表于 2017-7-31 17:30:35

糟了糟了. 我被攻击了. 需要大保健来抢救一下

admin · 发表于 2017-7-31 19:21:30

非常专业的测试，赞！

谢谢反馈，已记录。

liu2yu · 发表于 2017-7-31 19:31:53

LZ好专业！厉害了！

高恪活动01 · 发表于 2017-8-1 09:01:19

好贴！！

谢谢支持！！

Matrix · 发表于 2017-8-1 16:40:45

高恪活动01 发表于 2017-8-1 09:01
好贴！！

谢谢支持！！

云平台也有这个问题，没有验证码，很容易被暴力破解，已论证，并且提交也是明文。
TIM图片20170801163908.jpg

请注意下安全方面的工作。

高恪活动01 · 发表于 2017-8-1 20:34:32

谢谢！！

已反馈给研发！！

[问题反馈] 高恪WEB后台登录两处安全问题