Lỗ hổng

1. Có 1 hệ thống có tính năng login được làm rất kỹ: đăng nhập bằng số điện thoại (unique), đăng nhập tự động khóa sau 3 lần sai mật khẩu (nhưng không block IP), muốn cập nhật mật khẩu mới, người dùng chỉ có thể liên hệ tới tổng đài, cung cấp các thông tin chỉ người đó mới biết

2. Cũng hệ thống đó, user profile của người dùng thể hiện rõ luôn số điện thoại của người dùng

3. Có 1 cuộc tấn công đơn giản vào hệ thống với brute-force vào hàm login với 1 danh sách các số điện thoại bất kì được lấy từ các trang bán SIM cũng như crawler từ chính hệ thống đó.

4. Hệ thống vẫn an toàn, chạy ngon, và không có 1 error.

5. Chỉ có điều, khoảng hơn 1000 username đã bị block trong đợt brute-force đó, ngày hôm đó, tổng đài CSKH nghe và tư vấn mệt nghỉ, nghe đâu team CSKH hôm đó OT tới quá 12h đêm 🙂

Phiên bản gốc là 1 status facebook của tôi tại đây

Post a Comment

Mới hơn Cũ hơn