Skip to content

[安全/认证]: 登录页面存在明文凭证传输风险且缺乏防暴力破解机制 #4

Description

@atoncooper

📌 概述 / 问题描述

位于 https://106.53.220.71 的登录界面在处理用户凭证时存在严重的安全与功能缺陷。目前该站点依赖自签名或未加密/弱加密的协议,用户凭证在传输前未在客户端进行哈希或加密处理;同时,系统缺乏任何验证码或频次限制机制,极易遭受暴力破解攻击。

🔁 复现步骤

  1. 访问 https://106.53.220.71(若有浏览器 SSL 警告请选择忽略并继续)。
  2. 打开浏览器开发者工具 (F12) 并切换到 “网络 (Network)” 标签页。
  3. 输入测试账号和密码,点击“登录”。
  4. 检查发送的 POST 请求载荷 (Payload)。

🎯 预期结果

  1. 网站应配置有效的 SSL 证书以强制执行真正的 HTTPS 加密传输。
  2. 敏感字段(如密码)在传输前应在客户端进行哈希或加密。
  3. 系统应具备安全防护机制,在多次登录失败后触发验证码、多因素认证 (MFA) 或账号锁定策略。

❌ 实际结果

  1. 网站触发浏览器安全证书警告。
  2. 凭证以明文形式发送,一旦网络传输层被监听,账号密码将直接暴露。
  3. 没有任何频率限制或防自动化攻击的屏障,登录接口极易被自动化脚本进行撞库或暴力破解。

⚠️ 严重程度 / 影响

  • P1 - 高 (安全漏洞,存在用户凭证泄露的重大风险)

💻 环境与上下文

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions