美文网首页PWC实习心得
2018-03-17-OWASP TOP 10--身份验证及会话

2018-03-17-OWASP TOP 10--身份验证及会话

作者: 最初的美好_kai | 来源:发表于2018-03-17 17:32 被阅读69次

    2.失效的身份验证及会话管理

    A:介绍

    身份认证,常见的身份认证用于进行用户登录、物理口令、数字签名等场景,从而进行对用户身份的辨别。

    会话管理,最常见的例子就是cookie技术的使用,通过cookie来进行用户身份辨识从而减少服务器的负担。

    B:漏洞原理

    身份认证和会话管理是用户端与服务器进行正确交互的一道保障,而失效的身份认证以及会话管理则是破坏了这一过程,这是因为开发人员在开发应用程序时,往往注重于应用程序的功能而未考虑验证机制的逻辑性和合理性,因此,这些自定义的验证方案往往存在各种问题,举几个例子:

    A:用户更改密码之前不验证用户身份,而是依靠会话的ip地址。

    B:没有会话超时限制。

    C:密码找回功能过于简单。

    C:场景举例


    图一

    D:验证点

    1.会话id是否暴露在URL里面。

    2.用户凭证是否可猜测,或者是重写(例如猜测用户凭证的构造算法等)

    3.会话ID是否容易受到会话固定攻击。

    4.密码、会话是否通过TSL进行传输

    5.存储用户凭证时,有没有进行one-way hash或者加密保护。

    6.会话id有设置超时吗?

    E:防范措施

    1.设置密码有效期

    2.禁用失效用户账户

    3.区分公共场所和个人场所

    4.进行加密传输

    5.使用强密码

    相关文章

      网友评论

        本文标题:2018-03-17-OWASP TOP 10--身份验证及会话

        本文链接:https://www.haomeiwen.com/subject/vpujqftx.html