1、未验证邮箱/手机号
情景描述:应用为了方便用户记录用户名,使用邮箱和手机号作为用户名,因此很多应用在注册的时候就要求用户填写,多数时候都会给用户发送激活信息,激活后才能登录。
缺陷:未审核邮箱/手机号是否有效(及未发送验证信息),从而实现任意注册账号;未验证数据库中是否已经存在相同的用户名(导致同一账号,有2个密码,且用户数据产生读取问题)。
2、不安全验证邮箱/手机号
情景描述:用户注册邮箱/手机号提交后,会通过发验证码等方法对其真实性进行验证。
缺陷:返回的验证码可能隐藏在返回包中,或hidden属性隐藏,或者是可以伪造该信息,劫持到验证信息;分布验证/多步填写等情况,第一步填写的时候验证完成以后,后面并未对账号进行再次验证,通过修改数据包中已验证的邮箱/手机;验证未绑定,使用自己邮箱/手机获取验证码后,在其他账号上使用。
3、批量注册
情景描述:通常由于无验证码或者验证码不安全,再对用户名进行爆破即可。
缺陷:危害不足,但可能导致服务器DOS应用层攻击,影响网站的正常使用。
4、个人信息伪造
情景描述:需填写身份证等信息,可任意构造绕过身份证与姓名(一般网站危害不足),如果是防沉迷系统存在此类问题(危害应该足了)。
缺陷:个人信息伪造可能导致身份验证失效。
5、前端验证审核绕过
步骤:使用正常账号或合规操作执行,拦截返回信息(判断信息);使用需要绕过检测的操作,并将服务器返回判断信息替换为正确时的。
缺陷:前端验证可以被绕过,导致不安全的用户输入被接受。
6、用户名覆盖
利用地方:注册账号、修改个人信息。
缺陷:未对数据库中的账号进行核对是否已经存在,可能导致用户名被覆盖,用户数据产生读取问题。
7、修复建议
对新注册用户的绑定手机号进行短信身份认证,短信验证码请不要仅使用短数字,最好是以字母加数字进⾏组合,并且验证码需要限定过期时间和验证错误次数,防止短信验证码被暴力破解。
注册漏洞主要包括未验证邮箱/手机号、不安全验证邮箱/手机号、批量注册、个人信息伪造、前端验证审核绕过和用户名覆盖等问题,这些漏洞可能导致用户数据泄露、账号被恶意注册等安全问题,为了修复这些漏洞,建议采取短信身份认证、增加验证码强度、限制登录失败次数等措施来提高系统的安全性。
到此,以上就是小编对于注册漏洞的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/86640.html
