Reset/Forgotten Password Bypass
Jiunge na HackenProof Discord server ili kuwasiliana na wadukuzi wenye uzoefu na wawindaji wa zawadi za mdudu!
Machapisho ya Kudukua Shiriki na maudhui yanayochimba kina katika msisimko na changamoto za kudukua
Habari za Kudukua Halisi Kaa up-to-date na ulimwengu wa kudukua unaobadilika haraka kupitia habari za wakati halisi na ufahamu
Matangazo Mapya Baki mwelekeo na matangazo mapya ya zawadi za mdudu yanayoanzishwa na sasisho muhimu ya jukwaa
Jiunge nasi kwenye Discord na anza kushirikiana na wadukuzi bora leo!
Kuvuja kwa Kizuizi cha Kurejesha Nenosiri Kupitia Kielekezi
Kichwa cha kumbukumbu ya HTTP kinaweza kuvuja ishara ya kurejesha nenosiri ikiwa itajumuishwa kwenye URL. Hii inaweza kutokea wakati mtumiaji anabonyeza kiungo cha tovuti ya tatu baada ya kuomba kurejesha nenosiri.
Athari: Kuchukua akaunti inayowezekana kupitia mashambulizi ya Udukuzi wa Ombi la Msalaba wa Tovuti (CSRF).
Vyanzo:
Udanganyifu wa Kurejesha Nenosiri
Wadukuzi wanaweza kudhibiti kichwa cha mwenyeji wakati wa maombi ya kurejesha nenosiri ili kuuelekeza kiungo cha kurejesha kwenye tovuti yenye nia mbaya.
Kifuniko: Tumia
$_SERVER['SERVER_NAME']kutengeneza URL za kurejesha nenosiri badala ya$_SERVER['HTTP_HOST'].Athari: Inasababisha kuchukua akaunti inayowezekana kwa kuvuja ishara za kurejesha kwa wadukuzi.
Hatua za Kupunguza Hatari:
Thibitisha kichwa cha mwenyeji dhidi ya orodha nyeupe ya uwanja kuruhusiwa.
Tumia njia salama za upande wa seva kuzalisha URL za kipekee.
Vyanzo:
Kurejesha Nenosiri Kwa Kudhibiti Parameta ya Barua pepe
Wadukuzi wanaweza kudhibiti ombi la kurejesha nenosiri kwa kuongeza parameta za barua pepe ziada ili kuuelekeza kiungo cha kurejesha.
Hatua za Kupunguza Hatari:
Kata na thibitisha parameta za barua pepe kwa upande wa seva.
Tumia taarifa zilizotayarishwa au maswali yaliyoparameta kuzuia mashambulizi ya kuingiza.
Vyanzo:
Kubadilisha Barua pepe na Nenosiri la Mtumiaji yeyote kupitia Parameta za API
Wadukuzi wanaweza kubadilisha parameta za barua pepe na nenosiri katika maombi ya API ili kubadilisha sifa za akaunti.
Hatua za Kupunguza Hatari:
Hakikisha uthibitishaji wa parameta na ukaguzi wa uthibitishaji.
Tekeleza ufuatiliaji na ufuatiliaji imara kugundua na kujibu shughuli za shaka.
Kumbukumbu:
Hakuna Kizuizi cha Kiwango: Barua pepe Bombing
Kutokuwepo kwa kizuizi cha kiwango kwenye maombi ya kurejesha nenosiri kunaweza kusababisha barua pepe za mabomu, kumzidi mtumiaji kwa barua pepe za kurejesha.
Hatua za Kupunguza Hatari:
Tekeleza kizuizi cha kiwango kulingana na anwani ya IP au akaunti ya mtumiaji.
Tumia changamoto za CAPTCHA kuzuia unyanyasaji wa moja kwa moja.
Vyanzo:
Pata Jinsi Ishara ya Kurejesha Nenosiri Inavyozalishwa
Kuelewa muundo au njia nyuma ya uzalishaji wa ishara inaweza kusababisha kutabiri au kufanya nguvu za ishara.
Hatua za Kupunguza Hatari:
Tumia njia imara, za kriptografia kwa uzalishaji wa ishara.
Hakikisha upungufu wa kutosha na urefu wa kutosha kuzuia utabirika.
Zana: Tumia Burp Sequencer kuchambua upungufu wa ishara.
GUID Inayoweza Kufikiriwa
Ikiwa GUIDs (k.m., toleo 1) inaweza kufikiriwa au kutabirika, wadukuzi wanaweza kufanya nguvu za kuzalisha ishara sahihi za kurejesha.
Hatua za Kupunguza Hatari:
Tumia GUID toleo la 4 kwa upungufu au tekeleza hatua za usalama zaidi kwa toleo zingine.
Zana: Tumia guidtool kwa kuchambua na kuzalisha GUIDs.
Udanganyifu wa Majibu: Badilisha Majibu Mabaya na Mema
Kudhibiti majibu ya HTTP ili kuzidi ujumbe wa kosa au vizuizi.
Hatua za Kupunguza Hatari:
Tekeleza ukaguzi wa upande wa seva ili kuhakikisha uadilifu wa majibu.
Tumia njia salama za mawasiliano kama HTTPS kuzuia mashambulizi ya mtu katikati.
Kumbukumbu:
Kutumia Ishara Iliyomalizika
Jaribio la kuona ikiwa ishara iliyomalizika bado inaweza kutumika kwa kurejesha nenosiri.
Hatua za Kupunguza Hatari:
Tekeleza sera kali za ukomo wa ishara na thibitisha ukomo wa ishara kwa upande wa seva.
Nguvu ya Nguvu ya Ishara ya Kurejesha Nenosiri
Jaribio la kufanya nguvu ya ishara ya kurejesha kwa kutumia zana kama Burpsuite na IP-Rotator kuzidi mipaka ya kiwango cha IP.
Hatua za Kupunguza Hatari:
Tekeleza mifumo imara ya kikomo cha kiwango na kufunga akaunti.
Fuatilia shughuli za shaka zinazoashiria mashambulizi ya nguvu ya nguvu.
Jaribu Kutumia Ishara Yako
Jaribio la kuona ikiwa ishara ya kurejesha ya muhusika inaweza kutumika pamoja na barua pepe ya muhanga.
Hatua za Kupunguza Hatari:
Hakikisha kuwa ishara zimefungwa kwa kikao cha mtumiaji au sifa zingine maalum za mtumiaji.
Kufuta Kikao katika Kutoka/Upya Nenosiri
Kuhakikisha kuwa vikao vinabatilishwa wakati mtumiaji anatoka au anarejesha nenosiri lake.
Hatua za Kupunguza Hatari:
Tekeleza usimamizi sahihi wa kikao, ukizingatia kwamba vikao vyote vinabatilishwa wakati wa kutoka au upya nenosiri.
Kufuta Kikao katika Kutoka/Upya Nenosiri
Ishara za kurejesha zinapaswa kuwa na muda wa kumalizika ambao baada yake zinakuwa batili.
Hatua za Kupunguza Hatari:
Weka muda wa kumalizika wa busara kwa ishara za kurejesha na uhakikishe kuitekeleza kwa nguvu upande wa seva.
Marejeo
Jiunge na HackenProof Discord server ili kuwasiliana na wadukuzi wenye uzoefu na wawindaji wa tuzo za makosa ya usalama!
Machapisho ya Kudukua Shiriki na maudhui yanayochimba kina katika msisimko na changamoto za kudukua
Taarifa za Kudukua za Wakati Halisi Kaa sawa na ulimwengu wa kudukua wenye kasi kupitia taarifa za wakati halisi na ufahamu
Matangazo ya Karibuni Baki mwelekezwa na tuzo mpya za makosa ya usalama zinazoanzishwa na sasisho muhimu za jukwaa
Jiunge nasi kwenye Discord na anza kushirikiana na wadukuzi bora leo!
Last updated
