Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
返回腾讯云官网
社区首页 >专栏 >Web长密码拒绝服务漏洞

Web长密码拒绝服务漏洞

作者头像
LuckySec
发布于 2022-11-15 12:28:43
发布于 2022-11-15 12:28:43
2.5K2
举报
文章被收录于专栏:LuckySec网络安全LuckySec网络安全
关联问题
换一批

前言

持续更新:整理下渗透测试工作中发现过的漏洞(包含漏洞描述、漏洞等级、漏洞验证、修复建议),这里不深究漏洞产生的各种后利用或者绕过方式,漏洞验证过程不局限于文章中的方法,能够证明漏洞存在即可。

0x01 漏洞描述

- Web长密码拒绝服务漏洞 -

Web应用程序没有对用户提交的密码长度进行合理限制,攻击者可以通过发送一个非常长的密码(1.000.000个字符)对服务器造成拒绝服务攻击,这可能导致网站无法使用或无响应。通常,此问题是由易受攻击的密码哈希实现引起的,发送长密码时,迫使系统执行密码哈希过程导致服务器CPU和内存耗尽。

0x02 漏洞等级

威胁级别

高危

中危

低危

0x03 漏洞验证

一般情况下,此漏洞出现在用户密码登录的地方。

使用BurpSuite抓包,构造任意非常长的密码发送登录请求,迫使服务器执行密码哈希计算过程,密码长度越长,拒绝服务的时间越久。

0x04 漏洞修复

  1. 对输入的参数字段值的可接受最大长度进行限制。
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022-10-27,如有侵权请联系 cloudcommunity@tencent.com 删除
网络安全
安全
编程算法
网站

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

网络安全
安全
编程算法
网站
评论
登录后参与评论
2 条评论
热度
最新
用户9947240
这个漏洞截止目前还没有解决,腾讯邮箱登录页还能被扫描出此漏洞
这个漏洞截止目前还没有解决,腾讯邮箱登录页还能被扫描出此漏洞
回复回复点赞举报
用户10868540
我的burp没有那个响应时长是咋回事呢?需要下载插件还是?
我的burp没有那个响应时长是咋回事呢?需要下载插件还是?
回复回复点赞举报
登录 后参与评论
推荐阅读
编辑精选文章
换一批
鹅厂写码13年,我总结的程序员高效阅读方法论
6580
进程,线程,协程 - 你了解多少?
2715
微服务与分布式系统设计看这篇就够了!
2309
腾讯文档表格卡顿指标探索之路
2108
从Hadoop1.0到Hadoop2.0架构的优化和发展探索详解
2069
微服务架构:由浅入深带你了解底层注册中心
2062
密码字段通过 GET 方法传输
安全网络安全phphttp网站
密码字段通过 GET 方法传输是不安全的,因为在传输过程,用户凭据以明文等形式被放在请求的 URL 中。大多数 Web 服务器将记录所有请求的参数和 URL ,因此当凭据属于 URL 的一部分时,它们将显示在 Web 服务器日志中,这样就可能会有一些隐私信息被第三方查看获取。另外,攻击者也可以通过中间人攻击等手段,截获到 GET 请求 URL 中到用户凭据,增加了敏感信息泄露的风险。而 POST 请求方式通过“请求体”传递数据,参数内容不会在 URL 中显示,相较于 GET 请求方式会更加安全。
LuckySec
2023/01/30
8520
暴力破解漏洞
安全网络安全验证码
暴力破解的产生是由于服务器端没有做合理的限制,导致攻击者可以通过暴力的手段破解所需信息,如用户名、密码、验证码等。暴力破解的关键在于字典的大小,暴力破解需要一个庞大的字典,如4位数字的验证码,那么暴力破解的范围就是0000~9999。该漏洞常存在于应用系统的登录模块中,攻击者可以通过事先准备的字典或者社工生成的字典,对特定目标口令进行大量登录尝试,直至暴力破解成功。
LuckySec
2023/01/30
1.3K0
HOST头注入漏洞
安全网络安全http网站
在很多情况下,开发人员都会信任 HTTP 请求包 Header 中的 Host 字段值,并使用它来生成链接、导入脚本,甚至使用其值生产密码重置链接。这种行为非常不当,因为 HTTP HOST 字段值可能会被攻击者控制。如果应用程序没有对 Host 字段值进行处理,攻击者就可以使用 Web 缓存中毒和滥用替代通道(例如密码重置电子邮件)等手段来利用此漏洞。
LuckySec
2022/11/08
2.1K0
HOST头注入漏洞
用户名枚举漏洞
网络安全安全
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。
LuckySec
2023/01/30
4.6K0
Weblogic SSRF漏洞(CVE-2014-4210)
网络安全安全oraclehttp
WebLogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Oracle Fusion Middleware 10.0.2.0和10.3.6.0版本的Oracle WebLogic Server组件中的WLS - Web Services子组件存在安全漏洞。Weblogic中间件默认带有“UDDI 目录浏览器”且为未授权访问,通过该应用,可进行无回显的SSRF请求。远程攻击者可利用该漏洞对企业内网进行大规模扫描,了解内网结构,并可能结合内网edis、Fastcgi等脆弱组件漏洞直接获取服务器权限。
LuckySec
2022/11/15
1K0
Weblogic SSRF漏洞(CVE-2014-4210)
Lanproxy路径遍历漏洞
网络安全安全编程算法
Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具。Lanproxy 存在目录遍历漏洞,攻击者构造恶意请求,可直接获取到Lanproxy配置文件,从而登录Lanproxy管理后台进入内网。
LuckySec
2022/11/02
5370
Lanproxy路径遍历漏洞
Alibaba Nacos 权限认证绕过漏洞
网络安全安全访问管理
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。
LuckySec
2022/11/08
1.6K0
Alibaba Nacos 权限认证绕过漏洞
验证码重放漏洞
安全网络安全验证码访问管理
验证码就是每次访问页面时随机生成的图片,内容一般是数字和字母,需要访问者把图中的数字字母填到表单中提交,这样能有效地防止暴力破解、信息枚举、恶意灌水、广告帖等。例如在登陆的地方设置访问一个脚本文件,该文件生成含验证码的图片并将值写入到session里,提交的时候验证登陆的脚本就会判断提交的验证码是否与session里的一致。如果服务器端受理请求后,没有将上一次保存的session验证码及时清空,将会导致验证码可重复使用。
LuckySec
2022/11/15
1.6K0
验证码重放漏洞
短信验证码回显
网络安全安全验证码短信
由于网站程序开发人员在设计验证码时为了方便使用,会选择将验证码回显在响应中,来判断用户输入的验证码是否和响应中的验证码一致,如果一致就会通过身份校验。攻击者可以通过拦截数据包等手段获取短信验证码值,根据短信验证码使用场景的不同,将会导致任意账户登录、任意密码重置、用户身份盗用等更多高危的风险产生。
LuckySec
2022/11/15
9.1K0
短信验证码回显
OpenSSL心脏滴血漏洞
安全缓存网络安全云镜(主机安全)SSL 证书
2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露,即HeartBleed是在心跳协议上的一个数据泄露漏洞,OpenSSL库中用到了该心跳协议。
LuckySec
2022/11/02
1.2K0
OpenSSL心脏滴血漏洞
Apache Tomcat 拒绝服务漏洞通告
tomcatapache安全服务漏洞
作者 | 360CERT 来源 | https://www.oschina.net/news/164556 报告编号:B6-2021-101501 报告来源:360CERT 报告作者:360CERT 更新日期:2021-10-15 1 漏洞简述 2021年10月15日,360CERT监测发现Apache 官方发布了Apache Tomcat 拒绝服务漏洞的风险通告,漏洞编号为CVE-2021-42340,漏洞等级:高危,漏洞评分:7.8。 Tomcat是由Apache软件基金会下属的Jakarta项目开发的
程序猿DD
2023/04/04
6990
Apache Tomcat 拒绝服务漏洞通告
短信验证码爆破
网络安全安全验证码短信爬虫
短信验证码一般由4位或6位数字组成,若服务端未对验证时间、次数进行限制,则存在被爆破成功的可能性。输入手机号获取验证码,输入任意短信验证码发起请求并抓取数据包,将短信验证码参数字段设置成payloads取值范围为000000-999999进行暴力破解,根据返回响应包状态或长度等特征进一步判断是否爆破成功。
LuckySec
2022/11/15
12.6K0
短信验证码爆破
任意用户登录漏洞(响应内容绕过)
网络安全安全
逻辑设计缺陷是由于应⽤在最初设计时由于未考虑全⾯,在登录、注册、找回密码、⽀付模块中程序的判断逻辑及程序的处理流程上存在缺陷,导致攻击者可以绕过程序的处理流程,从⽽达到特定的⽬的,如暴⼒破解密码,任意⽤户注册、任意用户登录、任意密码重置及各种⽀付漏洞。
LuckySec
2022/11/02
5.7K0
任意用户登录漏洞(响应内容绕过)
GoTTY 未授权远程命令执行漏洞
安全网络安全网站javaphp
GoTTY 是一个简单的基于 Go 语言的命令行工具,它可以将终端(TTY)作为 Web 程序共享。GoTTY 的架构是基于 Hterm + Web Socket 的,它能在 Web 浏览器上运行一个基于 Java 的终端,并支持通过 HTTP 和 HTTPS 访问。当 GoTTY 未正确配置身份验证启动时,任意用户可通过 GoTTY 程序的 Web 页面未授权远程命令执行。
LuckySec
2022/11/02
1.5K0
GoTTY 未授权远程命令执行漏洞
Weblogic Console弱口令后台getShell
安全网络安全shell访问管理网站
Weblogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Weblogic Console控制台由于管理员配置疏忽没有更改默认密码,或者存在账号弱口令漏洞,攻击者可在获取到账号密码的前提下登录管理后台,通过控制台“部署”功能模块部署恶意war包,进而getShell获取服务器管理权限。
LuckySec
2022/11/18
2.6K0
Weblogic Console弱口令后台getShell
手机号重复绑定漏洞
网络安全安全访问管理短信验证码
许多网站在用户注册时都会要求用户绑定手机号或者邮箱进行注册,通过绑定的手机号和邮箱常用于用户忘记密码时接收验证码来判断是否本人操作。一般一个手机号限定绑定一个用户账号,如果一个手机号可同时绑定多个账号,可能造成账户信息泄露、账号身份被盗用的风险。
LuckySec
2022/11/15
1.5K1
手机号重复绑定漏洞
任意用户注册漏洞(身份认证缺失)
网络安全安全验证码短信
逻辑设计缺陷是由于应⽤在最初设计时由于未考虑全⾯,在登录、注册、找回密码、⽀付模块中程序的判断逻辑及程序的处理流程上存在缺陷,导致攻击者可以绕过程序的处理流程,从⽽达到特定的⽬的,如暴⼒破解密码,任意⽤户注册、任意用户登录、任意密码重置及各种⽀付漏洞。
LuckySec
2022/11/02
4.5K0
任意用户注册漏洞(身份认证缺失)
缓慢的Http拒绝服务攻击漏洞的验证(slowhttptest的安装)
安全编程算法htmlhttphttps
缓慢的http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每40秒才向服务器发送一个HTTP头部,而Web服务器再没接收到2个连续的rn时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。这种攻击类型称为慢速HTTP拒绝服务攻击。
p4nda
2023/01/03
5.4K0
缓慢的Http拒绝服务攻击漏洞的验证(slowhttptest的安装)
内网IP地址泄露
tcp/ip网络安全安全腾讯云测试服务网站
内网 IP 通常显现在 Web 应用程序/服务器所生成的错误消息中,或显现在 HTML/JavaScript 注释和部分页面跳转链接中。通过网站信息收集,发现其内网使用的 IP 地址(例如:内网 IP 地址段、IP 路由等等),可以帮助攻击者进行旨在渗透组织内部基础设施的网络层攻击。RFC 1918 规定了保留给私人网络使用的IP地址范围,这些地址不能在公共互联网上进行路由传输。内部 IP 定义为下列 IP 地址范围内:
LuckySec
2022/11/15
4.8K0
内网IP地址泄露
Weblogic T3协议远程代码执行漏洞(CVE-2020-2883)
安全网络安全oracle
- Weblogic T3协议远程代码执行漏洞(CVE-2020-2883) -
LuckySec
2022/11/18
1.2K0
Weblogic T3协议远程代码执行漏洞(CVE-2020-2883)
推荐阅读
编辑精选文章
鹅厂写码13年,我总结的程序员高效阅读方法论进程,线程,协程 - 你了解多少?微服务与分布式系统设计看这篇就够了!
相关讨论
web漏洞扫描一次几个网站?我的xss漏洞?CVE-2016-5195脏牛漏洞:Linux内核通杀提权漏洞
相关课程
轻量应用构建训练营AI代码助手快速上手训练营云开发微搭低代码平台-一人构建企业级应用实战训练营
密码字段通过 GET 方法传输
8520
暴力破解漏洞
1.3K0
HOST头注入漏洞
2.1K0
用户名枚举漏洞
4.6K0
Weblogic SSRF漏洞(CVE-2014-4210)
1K0
Lanproxy路径遍历漏洞
5370
Alibaba Nacos 权限认证绕过漏洞
1.6K0
验证码重放漏洞
1.6K0
短信验证码回显
9.1K0
OpenSSL心脏滴血漏洞
1.2K0
Apache Tomcat 拒绝服务漏洞通告
6990
短信验证码爆破
12.6K0
任意用户登录漏洞(响应内容绕过)
5.7K0
GoTTY 未授权远程命令执行漏洞
1.5K0
Weblogic Console弱口令后台getShell
2.6K0
手机号重复绑定漏洞
1.5K1
任意用户注册漏洞(身份认证缺失)
4.5K0
缓慢的Http拒绝服务攻击漏洞的验证(slowhttptest的安装)
5.4K0
内网IP地址泄露
4.8K0
Weblogic T3协议远程代码执行漏洞(CVE-2020-2883)
1.2K0
相关推荐
密码字段通过 GET 方法传输
更多 >
LuckySec0
LV.1
这个人很懒,什么都没有留下~
文章
143
获赞
697
专栏
1
作者相关精选
换一批
加入讨论
的问答专区 >
用户115828780
相关课程
一站式学习中心 >
轻量应用构建训练营
2817人在学
云服务器
轻量应用服务器
云计算
云开发微搭低代码平台-一人构建企业级应用实战训练营
1782人在学
腾讯云微搭低代码
云开发
ES Serverless一站式日志分析入门到精通
1151人在学
Elasticsearch Service
领券
社区富文本编辑器全新改版!诚邀体验~
全新交互,全新视觉,新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能,全面提升创作效率和体验

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
2
2
查看详情【社区公告】 技术创作特训营有奖征文