报告 #3030158 - cURL中的认证尝试限制不当
摘要
cURL中的认证机制未能正确限制失败的认证尝试次数,允许攻击者暴力破解凭据。此问题影响基于认证的请求,如果攻击者成功猜出有效密码,可能导致未授权访问。
受影响版本
- cURL版本:[指定版本]
- 平台:[指定操作系统和环境]
- (curl -V 输出:[附加输出])
重现步骤
- 使用有效用户名但错误密码通过cURL发起认证请求:
1curl -u valid_user:wrong_password http://target-url.com - 观察多次失败尝试后没有锁定或延迟
- 使用暴力破解脚本自动化该过程:
1for i in {1..1000}; do curl -u valid_user:password$i http://target-url.com; done - 如果找到正确密码,攻击者获得未授权访问
支持材料/参考文献
- [附加显示多次失败尝试但无任何锁定的日志或截图]
- [支持此声明的任何相关文档]
影响
- 允许针对用户账户进行暴力破解攻击
- 可能导致数据泄露的未授权访问
- 如果认证暴露,可远程利用
建议修复
- 在多次失败认证尝试后实施速率限制
- 引入验证码或多因素认证(MFA)
- 在预定义失败次数后强制执行临时账户锁定
严重性:严重 🚨
此漏洞可被远程利用,导致未授权访问,构成高影响安全风险
时间线
- 2025年3月10日 21:00 UTC - irfanmughal1122 向curl提交报告
- 2025年3月10日 21:04 UTC - dgustafsson (curl员工) 评论:强制失败尝试间的退避机制为何是curl的责任而不是网站的责任?
- 2025年3月10日 21:13 UTC - jimfuller2024 (curl员工) 评论:认为报告混淆了几个主题,并输出了与curl无关的模板内容
- 2025年3月10日 21:37 UTC - bagder (curl员工) 关闭报告并将状态改为"不适用"
- 2025年6月28日 12:27 UTC - bagder 请求披露此报告
- 2025年6月28日 21:09 UTC - bagder 披露此报告
报告详情
- 报告时间:2025年3月10日 21:00 UTC
- 报告者:irfanmughal1122
- 报告对象:curl
- 报告ID:#3030158
- 严重性:严重 (9 ~ 10)
- 披露时间:2025年6月28日 21:09 UTC
- 弱点:认证尝试限制不当
- CVE ID:无
- 奖金:无
curl团队最终认定这不是安全问题,因为curl实际上无法减慢或禁止其在暴力破解尝试中的使用。