漏洞总结:Login Endpoint Has No Rate Limiting, Lockout, or Brute-Force Protection 漏洞概述 漏洞类型:登录接口缺乏速率限制、锁定机制或暴力破解防护。 严重程度:高(7.5/10) CWE:CWE-307: Improper Restriction of Excessive Authentication Attempts CVSS 3.1 评分:7.5 (HIGH) 影响组件: - 文件: - 函数: - 路由: (通过 在所有页面上呈现为模态) - 其他受影响的路由: (密码重置请求,无节流)、 (注册端点,无速率限制) 影响范围 攻击向量:网络 攻击复杂度:低 所需权限:无 用户交互:无 范围:未改变 机密性:高 完整性:无 可用性:无 潜在攻击场景 1. 凭证填充:利用公开泄露的凭证对账户进行批量尝试。 2. 字典攻击:系统性地测试常见密码。 3. 定向暴力破解:针对特定高价值目标(如管理员账户)枚举可能的密码模式。 攻击示例 攻击者可以在不触发任何服务器端限制的情况下,以保守估计的每秒 100 个请求的速度,每小时对每个账户测试 360,000 个密码。 修复方案 推荐方法:服务器/代理层 配置 Nginx 或 Apache 以限制登录端点的速率。 应用层中间件 跟踪每个 IP 的失败尝试,并使用 Redis/APCu 等快速存储。 额外建议 添加每账户锁定(例如,5 次失败后 15 分钟锁定)。 考虑在连续 3 次失败后引入 CAPTCHA。 概念验证 (POC) 代码 HTTP 请求示例 Shell 脚本示例