Qual è lo scopo dei nomi di input del modulo dipendenti dal tempo?

5

Questo modulo di accesso continua a cambiare i nomi dei suoi campi:

Che cosa comporta? Che tipo di attacco protegge da?

    
posta ændrük 13.06.2017 - 22:45
fonte

2 risposte

4

Il tuo esempio è un'app bancaria. Molte banche stanno affrontando problemi con gli strumenti "raschiando" che raccolgono informazioni dalla banca. Fondamentalmente, le banche sono così indietro sulle API per accedere alle nostre informazioni che i clienti scelgono di fornire i loro nomi utente e password a siti di terze parti che poi analizzano i loro dati finanziari e li presentano in un formato utilizzabile (come un file CSV).

Diverse banche hanno preso la decisione che questo è un problema, e invece di costruire le API, stanno solo cercando di rendere più difficile per gli scraper fare il loro lavoro. I campi dinamici come questo sono uno strumento che possono sfruttare. Altri hanno un token codificato in javascript che deve essere decodificato e passato. L'idea è che se riescono a rendere abbastanza difficile per una festa in 3D di analizzare i tuoi dati, smetterai di fornire la tua password per compensare la mancata fornitura dei servizi richiesti dai clienti.

    
risposta data 15.07.2017 - 02:25
fonte
0

Sembra essere una soluzione anti-automazione. Solo chi ha originariamente progettato i requisiti per questo potrebbe dirti esattamente cosa stavano cercando di ottenere, ma qui ci sono un paio di ipotesi:

  • CAPTCHA - Cercare di impedire l'invio automatico di moduli da parte di bot.

  • Anti-CSRF - Tentativo di impedire Falsificazione richiesta cross-site

  • Impedisci ai browser di memorizzare le credenziali di accesso nella cache: questa soluzione potrebbe browser di destinazione che pre-data l'autocomplete="false" attributo.
  • Impedisci agli scanner di sicurezza automatici di trovare vulnerabilità -
    Molti strumenti di sicurezza, come i fuzzer, tenteranno automaticamente di
    inviare moduli. Cambiare i nomi dei campi significa che questi strumenti devono essere ritarato.

Questa soluzione sarebbe efficace al 100% solo come meccanismo anti-cache e forse come soluzione anti-CSR, a seconda dell'implementazione specifica. È anche eccessivo per entrambi questi problemi. Tutti gli altri articoli che ho elencato potrebbero essere aggirati, anche se rallenterebbe un potenziale aggressore.

    
risposta data 14.06.2017 - 14:57
fonte

Leggi altre domande sui tag