假设一个程序登录界面密码限制8位以上,管理员登录后台改密也只能修改为8位以上的密码,否则不允许提交,但是通过改数据库内容,将一个六位数密码利用同样的加密方式加密后替换,这样登录界面在输入除正确六位密码之外的任何数字都会禁止提交并弹出密码大于8位提示,当输入六位正确密码是可成功登录,讨论下这样子的登录界面被爆破成功的可能性。
就比如QQ现在改密必须大于8位数,但是通过旧版电脑管家的一个接口可以把密码改成6位(很久之前试过,现在不知是否可行)
不做错误次数限制,这辈子就有可能
ip限流+错误次数锁定+模糊的错误提示+短信验证码登录+二步验证码+MFA
不能说是万无一失,只能说还出事就是有内鬼了
还是有可能的
爆破者会考虑到密码小于默认的8位数吗?
跑字典的通过接口调用会跟你考虑前端限制吗…
2 个赞
若登录接口只能传递八位以上字符呢?