1、原因
认证和会话管理方法设计不当。
包括注销、密码管理、超时机制、记住用户、密码问题、账户更新等。
2、危害
帐号被盗取,攻击者可以拥有该帐号的所有权限。特权帐号常被攻击。
3、发现
(1)存储口令时使用了不安全的哈希或加密算法。
(2)利用弱帐号管理功能,猜解或覆盖用户口令(帐号创建、修改密码、找回密码、弱sessionID)。
(3)sessionID暴露在URL中。
(4)sessionID在认证通过后没有更新,会受到会话固定攻击。
(5)sessionID不会超时,或者退出登录后,认证token(尤其SSO token)没有失效。
(6)口令、sessionID和其他认证字段通过非加密通道传输。
4、防护
(1)认证和会话管理控制系统,满足OWASP ASVS标准(v2-认证,v3-会话管理),并且为开发者提供简单的接口(参考ESAPI Authenticator and User APIs)。
(2)防止出现xss漏洞。