漏洞描述:

系统允许多点认证

测试方法:

1.在浏览器A中使用测试账号登录系统;
2.同时在浏览器B中使用同一个账号登录系统;
3.若在多个浏览器中均可登录同一各账号,说明存在多点认证缺陷。

风险分析:

攻击者在获取到其他用户的账号密码后,可利用该缺陷在用户已登录且未知的情况下进行登录,操作用户账户。

风险等级:

【高危】:多点登录架构可被绕过
【中危】:核心系统允许多点登录

修复方案:

建议在不影响业务的前提下,关键业务系统应禁止多点认证。当同一账号在其他地方登录时已登录的账号应退出会话,并提示用户账户在其他地区登录,可能存在账号被盗风险。