详细解决方案
root、root给它整郁闷死了.求解!该怎么处理
热度:1115 发布时间:2013-02-25 21:09:51
一个Web应用放在移动机房、他们进行漏洞扫描的时候、说可以猜测出我们Web应用的密码。
郁闷、用户数据库是没有这个用户的。
是不是什么Jboss的后台用户也不对了、我的jmx-console用户名跟密码都是自己从新配置过的!
根本没有什么root!
服务的环境是:
系统:Windows Server 2003
Web容器:Jboss6 M1
应用程序语言框架:SSH+Jquery
数据库:Oracle
求解啊、指点指点、这到底是个神马漏洞!
- XML code
详细描述 通过用户名、密码字典多次尝试目标站点基于表单的登录,猜测出可用于登录该站点的用户名,口令。 由于是通过枚举用户名,口令多次尝试登录,未限制登录错误次数的站点易受到次攻击。 本漏洞属于Web应用安全常见漏洞.解决办法 建议限制用户错误登录的次数,当超过错误登录次数,锁定该账户。
这是他们给的信息、登录错误次数早就已经限制了、而且老子直接后台判断如果登录的用户名为root、直接给它返回回来!
但是他们节后还是发邮件给我们说、这个漏洞依然存在、无语了!
------解决方案--------------------------------------------------------
请求方式是GET?有意思,也就是直接:
在浏览器输入: http://xxx.xxx.xxx/yd/jsppages/login.jsp?username=root&password=xxoo
就可以进行密码穷举了?
你的登录错误次数限制是用什么方式来做的?不会是Cookie吧?这个是没意义的。
------解决方案--------------------------------------------------------
仅过滤root用户,这个猜着用户名和密码的问题,当然还存在。
意思是先猜测用户名存不存在,存在再猜着密码。root过滤了,可以看admin或者其他xxx存在不。
当然现在的系统提示一般都是“用户名或密码错误”,如果是提示“该用户不存在”或“密码错误”,就是安全漏洞。
如果用户名存在,登录密码多次错误锁定账户。
如果同一IP多次尝试不同用户/密码登录,则提示“请X分钟后尝试”
个人觉得是上面这个意思,呵呵
相关解决方案
- java.sql.SQLException: Access denied for user 'root'@'localhost' (using password,该如何处理
- java.sql.SQLException: Access denied for user 'root'@'localhost' (using password解决思路
- 网页展示Access denied for user 'root'@'localhost'
- root、root给它整郁闷死了.求解!该怎么处理
- 怎么在外部修改web项目的context-root(web发布名称)
- tomcat起步后spring自动关闭 Closing Spring root WebApplicationContext
- soap调用webservice,报错:Root element of a SOAP message must be: 'http://schemas.xmls,该怎么处理
- 创建本地文件异常“ Root is not accessible”请高手指教
- 关于JSR75开发 怎么查到 system root name。多谢
- 高手指教:jsp中出现The full stack trace of the root cause is available in the Apache Tomcat/6.0.18 logs错误
- root cause com.mysql.jdbc.exceptions.MySQLSyntaxErrorException
- 使用eWebEditor 出现 msxml3.dll 异常 '80072ee2' 超时 /LM/W3SVC/519066790/Root/global.asa
- 虚拟机上安装ubuntu出现这个To run a command as administrator (user "root"), use "sudo <comm
- su - root -c 'setsid /opt/jboss-4.2.3GA/bin/run.sh &' 含义解决方法
- 解决mysql"Access denied for user 'root'@'IP地址'"有关问题
- Initializing Spring root WebApplicationContext停止启动,该如何解决
- SVN的Not authorized to open root of edit operation解决方法
- [求助]C:\Tomcat 5.5\webapps\ROOT\WEB-INF\classes
- The full stack trace of the root cause is available in the Apache Tomc ...
- 错误Unknown column 'root' in 'where clause'
- Thinkphp下面的xml_encode($data,encoding ='utf-8',root="think");函数怎么生成xml文件
- 数据库连接失败:mysql_error:Access denied for user 'root'@'localhost'解决思路
- phpnow_1.4.5-20筹建php环境,连接到数据库报错: Access denied for user 'root'@'localhost' (use
- 小弟我安装shuguang的cms到虚拟主机是时报Access denied for user 'root'@'localhost'
- phpnow_1.4.5-20筹建php环境,连接到数据库报错: Access denied for user 'root'@'localhost' (use
- 请问 $this->root->[HDOM_INFO_END] 是什么意思
- phpmyadmin的#1045 - Access denied for user 'root'@'localhost' (using password: NO,该如何解决
- root 改了密码异常
- Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'root'@'localhost' (using password: YES),该如何处理
- PHP中$link=mysql_connect("localhost""root""");解决思路