¿Cuál es el propósito de los nombres de entrada de formulario dependientes del tiempo?

5

Este formulario de inicio de sesión sigue cambiando los nombres de sus campos:

¿Qué logra eso? ¿Contra qué tipo de ataque protege?

    
pregunta ændrük 13.06.2017 - 22:45
fuente

2 respuestas

4

Su ejemplo es una aplicación bancaria. Muchos bancos enfrentan problemas con las herramientas de "raspado" que recopilan información del banco. Básicamente, los bancos están tan atrasados con las API para acceder a nuestra información que los clientes eligen dar sus nombres de usuario y contraseñas a sitios de terceros, que luego eliminan sus finanzas y las presentan en un formato utilizable (como un archivo CSV).

Varios bancos han tomado la decisión de que esto es un problema, y en lugar de desarrollar las API, solo intentan dificultar que los raspadores hagan su trabajo. Campos dinámicos como este son una herramienta que pueden aprovechar. Otros tienen algún token codificado en javascript que debe decodificarse y transmitirse. La idea es que si pueden hacer que sea lo suficientemente difícil para que un tercero pueda raspar sus datos, dejará de proporcionar su contraseña para compensar el hecho de no proporcionar los servicios que solicitan sus clientes.

    
respondido por el Cort Ammon 15.07.2017 - 02:25
fuente
0

Parece ser una solución anti-automatización. Solo quien haya diseñado originalmente los requisitos para esto podría decirle qué es exactamente lo que intentaron lograr, pero aquí hay algunas conjeturas:

  • CAPTCHA: intentar evitar el envío automático de formularios por parte de los robots.

  • Anti-CSRF: tratando de prevenir falsificación de solicitudes entre sitios / p>

  • Evitar que los navegadores almacenen en caché las credenciales de inicio de sesión: esta solución podría navegadores de destino que preceden el atributo autocomplete="false".
  • Evita que los escáneres de seguridad automatizados encuentren vulnerabilidades -
    Muchas herramientas de seguridad, como los fuzzers, intentarán automáticamente
    enviar formularios. Cambiar los nombres de los campos significa que estas herramientas deben ser recalibrado.

Esta solución solo sería 100% efectiva como mecanismo de almacenamiento en caché, y tal vez como solución anti-csrf, dependiendo de la implementación específica. También es una exageración para ambos problemas. Todos los demás elementos que enumeré podrían ser eludidos, aunque ralentizaría a un atacante potencial.

    
respondido por el user52472 14.06.2017 - 14:57
fuente

Lea otras preguntas en las etiquetas