Latest News

Enumerazione User e Password con Burp – Messaggi di errore

Oggi vedremo come è possibile utilizzare burp per testare la sicurezza di un form di login che fornisce messaggi di errore indicativi che consentono ad un utente malintenzionato di ottenere informazioni inerente username e password. Ogni form di login non deve assolutamente fornire informazioni di errore che consentono ad utenti malintenzionati di risalire ad un account. Un esempio è dato dai seguenti messaggi di errore: USER ERRATA, PASSWORD NON VALIDA. In questo modo un attaccante può dedurre user e password. Per ovviare a questo inconveniente bisogna utilizzare messaggi di errore generici (CREDENZIALI ERRATE) e introdurre altri mezzi che garantiscano sicurezza (BLOCCO IP DOPO TOT TENTATIVI ERRATI, DOPPIO FATTORE DI AUTENTICAZIONE). Il video mostra la procedura che mostra tale vulnerabilità.

Contatti