前情提要:跟我一起複習資安睡前故事
OWASP Top 10 2021版(上)今天發文時間還不到睡前,但是想助眠 or 覺得睡前記憶效益更佳的朋友,可以留到睡前再看。
這次請 Gemini 說明的是「身分驗證失敗 (Identification and Authentication Failures)」這一條,看完應該就會懂,為什麼「多一組密碼卻不做驗證機制」很不安全。
第 7 名:身分驗證失敗
這條漏洞說穿了,就是你的餐廳 「門鎖是塑膠做的,而且門口保鑣是個臉盲的濫好人」。
標題:《只要你猜拳猜個一萬次,保鑣總有一把會讓你贏》
1. 什麼是「撞庫攻擊」?(Credential Stuffing / No Rate Limiting)
- 情境: 一個蒙面怪人站在餐廳門口,拿著一大串鑰匙(幾萬把),一把一把插進鎖孔試。
- 這條漏洞的保鑣: (超有耐心) 站在旁邊看著怪人試了 5 個小時、試了 4,999 把鑰匙都不對,完全沒想要報警或把他踢走。直到第 5,000 把鑰匙打開了門。
- 保鑣反應: 「恭喜!皇天不負苦心人,請進!」
- 一句話解釋: 系統沒有限制「登入失敗次數」,讓駭客可以用機器人瘋狂猜密碼,直到猜對為止。
2. 什麼是「弱密碼與沒驗證」?(Weak Password / No 2FA)
- 情境: 餐廳規定要有「通關密語」才能進 VIP 包廂。
- 這條漏洞的設定: 老闆為了怕大家忘記,把通關密語設成 「芝麻開門」,還把這四個字刻在門框上。而且只要喊對了就放行,完全不用檢查證件(沒有雙重驗證)。
- 一句話解釋: 允許使用者設定 "123456" 這種爛密碼,或是登入時不需要手機簡訊/APP 二次確認,鑰匙掉了就死定了。
總結
這條漏洞告訴我們:
如果你的門鎖防君子不防小人,那跟掛一條「請勿進入」的紅布條有什麼兩樣?
