Video: Hướng dẫn xóa Quảng Cáo trong ứng dụng & Game trên mọi Android - KHÔNG ROOT 2025
Nhiều trang web yêu cầu người dùng đăng nhập trước khi họ có thể làm bất cứ điều gì với ứng dụng. Đáng ngạc nhiên, đây có thể là một sự trợ giúp tuyệt vời cho tin tặc. Các cơ chế đăng nhập này thường không xử lý các ID người dùng hoặc mật khẩu không chính xác. Họ thường tiết lộ quá nhiều thông tin mà kẻ tấn công có thể sử dụng để thu thập ID người dùng và mật khẩu hợp lệ.
Để kiểm tra các cơ chế đăng nhập không an toàn, hãy duyệt qua ứng dụng của bạn và đăng nhập
Sử dụng ID người dùng không hợp lệ và mật khẩu không hợp lệ
Sau khi nhập thông tin này, ứng dụng web có thể sẽ phản hồi với một thông báo tương tự ID người dùng của bạn không hợp lệ hoặc Mật khẩu của bạn không hợp lệ. Ứng dụng web có thể trả lại thông báo lỗi chung, chẳng hạn như ID người dùng và mật khẩu của bạn kết hợp không hợp lệ và đồng thời trả lại mã lỗi khác trong URL cho ID người dùng và mật khẩu không hợp lệ.
Trong cả hai trường hợp, đây là tin xấu bởi vì ứng dụng nói với bạn không chỉ tham số nào là không hợp lệ, mà còn là một trong số đó là
hợp lệ.
Điều này có nghĩa là kẻ tấn công độc hại bây giờ biết một tên người dùng hoặc mật khẩu tốt - khối lượng công việc của họ đã được cắt giảm một nửa! Nếu họ biết tên người dùng, họ chỉ cần viết một kịch bản để tự động hóa quá trình crack-password, và ngược lại.
Một công cụ thay thế và duy trì tốt hơn cho việc crack mật khẩu web là THC-Hydra.
Hầu hết các máy quét thương mại web dễ bị tổn thương đều có trình duyệt mật khẩu dựa trên từ điển tốt nhưng không ai có thể thực hiện kiểm tra brute-force thực sự như Brutus. Thành công của bạn bị phá vỡ mật khẩu phụ thuộc rất nhiều vào danh sách từ điển của bạn. Dưới đây là một số trang web phổ biến chứa các tệp từ điển và danh sách từ linh tinh khác:
ftp: // ftp. ceria. purdue. edu / pub / dict
// packetstormsecurity. org / Crackers / wordslists
-
www. outpost9. com / files / WordLists. html
-
Bạn có thể không cần một công cụ crack mật khẩu bởi vì nhiều hệ thống web mặt trước, chẳng hạn như các hệ thống quản lý lưu trữ và hệ thống video IP và kiểm soát truy cập vật lý, chỉ cần có mật khẩu mà họ đã vào.Những mật khẩu mặc định này thường là "mật khẩu", "admin" hoặc không có gì cả. Một số mật khẩu thậm chí còn được nhúng ngay trong mã nguồn của trang đăng nhập.
-
Bạn có thể thực hiện các biện pháp đối phó sau để ngăn chặn mọi người tấn công các hệ thống đăng nhập yếu trong các ứng dụng web của bạn:
Bất kỳ lỗi đăng nhập nào được trả lại cho người dùng cuối sẽ càng chung chung càng tốt, nói một cái gì đó tương tự ID người dùng của bạn và mật khẩu kết hợp không hợp lệ.
Ứng dụng không bao giờ nên trả lại mã lỗi trong URL phân biệt giữa ID người dùng không hợp lệ và mật khẩu không hợp lệ.
-
Nếu một tin nhắn URL phải được trả lại, ứng dụng nên giữ nó như chung chung nhất có thể. Dưới đây là ví dụ:
-
www. your_web_app. com / đăng nhập. cgi? success = false
Thông điệp URL này có thể không tiện lợi cho người dùng, nhưng nó giúp giấu cơ chế và hành động đằng sau hậu trường từ kẻ tấn công.
Sử dụng CAPTCHA (cũng reCAPTCHA) hoặc các mẫu đăng nhập web để giúp ngăn chặn các nỗ lực phá vỡ mật khẩu.
Sử dụng cơ chế khóa đột nhập trên máy chủ web hoặc trong các ứng dụng web của bạn để khóa tài khoản người dùng sau 10-15 lần thử đăng nhập không thành công. Việc vặt này có thể được xử lý thông qua theo dõi phiên hoặc thông qua ứng dụng tường lửa ứng dụng web của bên thứ ba.
-
Kiểm tra và thay đổi bất kỳ mật khẩu mặc định của nhà cung cấp nào thành một cái gì đó dễ nhớ nhưng vẫn khó crack.
