📌 概述 / 问题描述
位于 https://106.53.220.71 的登录界面在处理用户凭证时存在严重的安全与功能缺陷。目前该站点依赖自签名或未加密/弱加密的协议,用户凭证在传输前未在客户端进行哈希或加密处理;同时,系统缺乏任何验证码或频次限制机制,极易遭受暴力破解攻击。
🔁 复现步骤
- 访问
https://106.53.220.71(若有浏览器 SSL 警告请选择忽略并继续)。
- 打开浏览器开发者工具 (
F12) 并切换到 “网络 (Network)” 标签页。
- 输入测试账号和密码,点击“登录”。
- 检查发送的 POST 请求载荷 (Payload)。
🎯 预期结果
- 网站应配置有效的 SSL 证书以强制执行真正的 HTTPS 加密传输。
- 敏感字段(如密码)在传输前应在客户端进行哈希或加密。
- 系统应具备安全防护机制,在多次登录失败后触发验证码、多因素认证 (MFA) 或账号锁定策略。
❌ 实际结果
- 网站触发浏览器安全证书警告。
- 凭证以明文形式发送,一旦网络传输层被监听,账号密码将直接暴露。
- 没有任何频率限制或防自动化攻击的屏障,登录接口极易被自动化脚本进行撞库或暴力破解。
⚠️ 严重程度 / 影响
- P1 - 高 (安全漏洞,存在用户凭证泄露的重大风险)
💻 环境与上下文
📌 概述 / 问题描述
位于
https://106.53.220.71的登录界面在处理用户凭证时存在严重的安全与功能缺陷。目前该站点依赖自签名或未加密/弱加密的协议,用户凭证在传输前未在客户端进行哈希或加密处理;同时,系统缺乏任何验证码或频次限制机制,极易遭受暴力破解攻击。🔁 复现步骤
https://106.53.220.71(若有浏览器 SSL 警告请选择忽略并继续)。F12) 并切换到 “网络 (Network)” 标签页。🎯 预期结果
❌ 实际结果
💻 环境与上下文