漏洞描述:系统允许多点认证
测试方法:
1. 在浏览器A中使用测试账号登录系统;
2. 同时在浏览器B中使用同一个账号登录系统;
3. 若在多个浏览器中均可登录同一各账号,说明存在多点认证缺陷。
风险分析:攻击者在获取到其他用户的账号密码后,可利用该缺陷在用户已登录且未知的情况下进行登录,操作用户账户。
风险等级:
【高危】:多点登录架构可被绕过
【中危】:核心系统允许多点登录
修复方案:建议在不影响业务的前提下,关键业务系统应禁止多点认证。当同一账号在其他地方登录时已登录的账号应退出会话,并提示用户账户在其他地区登录,可能存在账号被盗风险。
网友评论