Le pagine di accesso senza numero di tentativi / blocchi di sicurezza rappresentano un rischio per la sicurezza?

3

Ho trovato una pagina di accesso per una città / edu organizzazione che non ha orari di sessione, nessun contatore / blocco tentativi, e nessun ritardo se vengono fatti troppi tentativi in un certo periodo di tempo. Sono in grado di sfruttare questo per ottenere una password di livello inferiore / studente in meno di 10 minuti (la password di Assgnes da parte dell'organizzazione non è molto buona). Devo segnalarlo a loro?

EDIT: dovrebbe anche menzionare che questo è anche utilizzabile per accedere alle credenziali di livello superiore, richiederebbero più tempo in quanto sono password personalizzate.

    
posta Xander 27.04.2016 - 01:43
fonte

3 risposte

1

Sì, si tratta di un serio controllo della sicurezza e deve essere segnalato in modo che possa essere risolto immediatamente.

    
risposta data 27.04.2016 - 01:50
fonte
2

Attenzione! Sulla base di quello che stai dicendo, hai già indossato il cappello, e ora tocca all'interpretazione se si tratta di un cappello nero, grigio o bianco. A seconda delle località, potresti aver già commesso un crimine. Gli amministratori di sistema possono diventare molto protettivi dei loro sistemi, e non sempre vedono l'angolo onesto di tipo show-you-your-lock-is-broken.

Questo potrebbe essere un lavoro per suggerimenti anonimi, a meno che tu non abbia un buon rapporto di lavoro con un membro del personale che potrebbe segnalarlo per te e mantenere la tua identità riservata.

Ha assolutamente bisogno di essere informato, ma non per caso martirizza te stesso come un buon Samaritano.

    
risposta data 27.04.2016 - 02:16
fonte
0

Penso che potrebbero esserci alcune ragioni per non utilizzare il contatore di lockout / retry:

  1. Per qualsiasi input del nome utente non valido o buon username / password errata, dovrebbe sempre restituire il messaggio di errore "Nome utente o password non validi". Oppure il messaggio di errore perde informazioni utente.

  2. Per il blocco, non sono validi utenti non esistenti; bloccare gli utenti esistenti potrebbe anche peggiorare in quanto esiste un potenziale attacco DoS.

  3. Il contatore di re-try non deve essere basato su un nome utente, anche in questo caso il messaggio di errore non definito potrebbe far perdere l'esistenza degli utenti. Tuttavia, se non è basato su un nome utente, basato sulla sessione o basato su ip non sarà di grande aiuto in quanto la sessione potrebbe sempre iniziarne una nuova e l'IP potrebbe essere rappresentato.

risposta data 27.04.2016 - 02:21
fonte

Leggi altre domande sui tag