用于内部使用的资源(如管理员登录表单)通常不会对暴力破解攻击进行防护。降低管理或对其他内部资源的防护可能导致数据丢失和其他损失。
这种资源应该被阻止外部访问。任何不需要公共互联网访问的资源应使用防火墙规则和网络隔离来限制。如果登录页面,管理区域或其他资源可以从外部访问,则需要假定它一定会被恶意用户发现并遭受暴力破解攻击。
M1 - Weak Server Side Controls
CWE 200 - Multiple CWE's