OWASP A7 Identification and Authentication Failures(身份识别和身份验证错误)

最新推荐文章于 2024-09-20 15:59:39 发布
最新推荐文章于 2024-09-20 15:59:39 发布
阅读量797 收藏 1
点赞数
分类专栏: OWASP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_like_ctrl/article/details/127228498
版权

Identification and Authentication Failures(身份识别和身份验证错误)

从 2017 的第二名下降到了 2021的第7名

我在 TOP1 中提出过水平越权和垂直越权,这方面就可以说是利用的错误的身份识别机制

同样,在不安全的设计中提出了用户名密码的样例,如果不加以限制,容易触发撞库

也就是说在已知账户或者密码的情况下进行撞库攻击.

现在由于有了更规范的套件,和编写标准,这个漏洞的范围覆盖呈下降趋势.

但是仍不可避免,同样危害也是非常重大的.

那么在什么情况下及其容易被攻破呢?

在上面的例子中,

一个是允许攻击者使用者利用已知密码账户进行撞库自动化攻击

也就是说在其他方面也不加以限制,同样也很容易触发暴力和自动化攻击

在应用的安装中也肯定让用户确认初始密码和账户.

但是如果忘了修改初始账户和密码或者设置了简单的账户和密码.

同样也很容易被攻击的

换个角度想,在密码传输的过程中,使用了明文传输,这对于监听的攻击者来说是很容易所发现的.也就是加密机制失效.

用 OWASP 的话说,这是使用脆弱的加密方法进行存储.

OWASP 中还举了其他的例子

在 URL 中泄露会话(Session) ID .比方说,一段 URL 中有 Session 值,被攻击者监听到了.就很容易利用 Session 进行水平越权处理.

登录了没有转换会话(Session) ID .

没有及时的注销会话(Session) ID ,用户的会话(Session)或者认证token(主要的单一登入认证)没有在登出或者一段时间没活动时被注销.

名词解释

  1. Session

服务器端记录用户的信息

最低0.47元/天 解锁文章
真不想起名TAT
关注
专栏目录
OWASP TOP10(2017)之【失效的身份认证】
qq_41042211的博客
07-07 1003
官方解释 OWASP Top 10 2017 如果应用程序存在如下问题,那么可能存在身份验证的脆弱性: 允许凭证填充,这使得攻击者获得有效用户名和密码的列表。 允许暴力破解或其他自动攻击。 允许默认的、弱的或众所周知的密码,例如“Password1”或“admin/admin”。 使用弱的或失效的验证凭证,忘记密码程序,例如“基于知识的答案”,这是不安全的。 使用明文、加密或弱散列密码(参见:A3:2017-敏感数据泄露)。 缺少或失效的多因素身份验证。 暴露URL中的会话ID(例如URL重写)。 在成功
OWASP top10(OWASP十大应用安全风险)之A7 跨站脚本(XSS)
qq_39682037的博客
03-18 2465
跨站脚本(XSS) 跨站点脚本(XSS)是一个广泛存在的漏洞,会影响许多Web应用程序。XSS攻击包括将恶意的客户端脚本注入网站,并将该网站用作传播方法。 XSS背后的风险在于,它允许攻击者将内容注入网站并修改其显示方式,从而迫使受害者的浏览器在加载页面时执行攻击者提供的代码。 XSS存在于所有应用程序的三分之二中。 通常,XSS漏洞要求用户通过社交工程或通过访问特定页面来触发某种类型的交互。如果...
【逻辑漏洞】-第五篇-身份认证漏洞
weixin_41560238的博客
08-01 943
众所周知,现在大大小小各种网站,在使用时很多都会让用户进行身份认证。目前主流的认证方式包括账号密码,手机/邮箱验证码,微信/app扫码等,这种认证实际上就是在检查“你是否是你”,以对用户在站内的资源进行保护。但如果网站存在身份认证漏洞,那么这种保护机制就会失效。P.S. 还有比较复杂的多因子认证,就是将秘密信息因子(密码/个人身份识别码/安全问题验证)、物品因子(软件令牌如验证码/硬件令牌如ukey)、生物特征因子(指纹/语音/面部特征)、位置因子(IP)、时间因子(特定的时间段)等组合起来使用。
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)
weixin_43125873的博客
08-15 331
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS) 文章目录OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)前言一、XSS是什么?二、如何防御总结 前言 Cross-Site Scripting (XSS) 即跨站域脚本攻击,XSS 是 OWASP Top 10 中第二个最普遍的问题,在所有应用程序的大约三分之二中都存在。 一、XSS是什么? 反射型 (Reflected )XSS:应用程序或 API
Web安全之认证及验证机制失效类漏洞详解及预防
路多辛的所思所想
02-08 655
对登录成功后下发的 token 需要保证足够的随机性,比如采用足够强的随机数生成算法生成 token,用户登录完成后要生成新的 token 并且给 token 设置一个合理的有效期(例如十分钟、半个小时、一个小时等,时间不宜过长),token 要安全保存,用户长时间不操作或者退出系统要销毁 token。提高密码的复杂度,例如要求密码长度8位以上,区分大小写字母,为大写字母、小写字母、数字、特殊符号中两种及以上的组合,不要有连续的字符比如1234abcd,尽量避免出现重复的字符比如1111。
墨者学院之身份认证失效漏洞实战
天天学安全专属博客
03-18 795
墨者学院之身份认证失效漏洞实战
OWASP A8 Software and Data Integrity Failures(软件和数据完整性故障)
震山的博客
10-09 639
主要是讲序列化漏洞的文章
Application-Gateway:OWASP Application Gateway是处理Oauth2身份验证和会话管理的HTTP代理
05-14
对于您来说,作为开发人员,OWASP Application Gateway消除了在后端和前端实现复杂的oauth2逻辑的麻烦,因此您可以完全专注于应用程序逻辑。 目录 怎么跑 Docker版本 罐子释放 自己编译 功能性 吉祥物 设计原则 ...
OWASP A9 Security Logging and Monitoring Failures(安全日志和监控故障)
震山的博客
10-09 1066
基于 OWASP 的建议方案,做了自己的理解
OWASP Top 10--失效的身份认证和会话管理》
ccAbner的博客
05-07 5478
说明:本文章仅限于对失效身份认证和会话管理的学习和了解1、定义身份认证:身份认证最常用于系统登录,形式一般为用户名和密码登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等会话管理:HTTP利用会话机制来实现身份认证,HTTP身份认证的结果往往是获得一个令牌并放在cookie中,之后的身份识别只需读授权令牌,而无需再次进行登录认证2、原理  开发者通常会建立自定义的认证和会话管理...
OWASP-TOP10-2021
薛定谔嘚喵博客
04-24 428
2021 OWASP Top 10 清单
2021的OWASP TOP 10
最新发布
2301_79096184的博客
09-20 1201
OWASP(开放Web应用安全项目)是一个非营利性组织,旨在提高软件安全性。每四年一个更新,2025年就会再次更新,到时候这篇文章也会实时更新。我主要从定义,场景,原因,影响,防护措施进行介绍。
Web应用安全的权威指南OWASPTop 10
易之阴阳,量子纠缠,道之一体,缘起性空
03-30 492
OWASP (Open Web Application Security Project) Top 10 是由OWASP组织发布的关于Web应用安全的权威指南,列举出当前最严重的Web应用安全风险。为了防范这些风险,开发者和安全团队应当在开发、测试、部署和运维阶段采取相应措施,例如使用安全编码实践、实施严格的访问控制策略、定期更新组件和补丁、进行安全审计和渗透测试等。
【渗透测试】OWASP TOP10
热门推荐
网络安全从业者的学习笔记
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
(OWASP)(笔记)(代码审计)OWASP TOP TEN 2021
aaaadoga的博客
07-16 830
这篇文章是关于作者学习2021版owasp top 10的笔记在我个人看来,了解这份报告,一个目的是为了面试(笑),另一个目的是方便确定代码审计的切入点,关于这一点,我在文章最后进行了一个总结,这个总结可能不够全面,哪位朋友有意见或疑惑可以留言或联系在学习了这一份报告后,我们在审计一个项目时,可以考虑从以下方面入手系统的访问控制机制系统提供的api是否能接受不同的http方法的请求?系统的CORS配置是什么?有无漏洞?能不能直接访问系统的后台界面?系统的认证和授权框架。
OWASP Top 10】2021版
weixin_49422491的博客
10-07 2013
本质上来说,OWASP Top 10主要是一个意识文件。然而,这并没有阻止组织自其2003年发布以来将其用作实际上的行业AppSec标准。如果您想使用OWASP Top 10作为编码或测试标准,请记住它是底线,是起点!OWASP Top 10榜单的目的是推动安全行业了解数据贡献公司所面临的漏洞和漏洞利用趋势,以更好地迎接和应对挑战。目前,OWASP Top 10仍处于初版阶段,还将随着安全行业不断审查其内容而发展完善。
OWASP TOP 10你了解几个?
Bu2n的博客
01-05 2946
OWASP TOP 102021TOP1 Broken Access ControlTOP2 Cryptographic FailuresTOP3 InjectionTOP4 Insecure DesignTOP5 Security MisconfigurationTOP6 Vulnerable and Outdated ComponentsTOP7 Identification and Authentication FailuresTOP8 Software and Data Integrity Fai.
2021 OWASP Top10
qq_54996168的博客
03-26 1万+
OWASP Top10搬运
身份验证绕过:802.11kvr协议详解与OWASPMutillidaeII实验漏洞全览
OWASP Mutillidae II实验指导书提供了一系列针对各种常见安全漏洞的实战演练,涵盖了SQL注入、身份验证漏洞、数据泄露、访问控制问题、配置错误、XSS攻击等多个方面。通过这个实验,学习者可以了解并练习如何识别和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值