用户认证安全性测试

最新推荐文章于 2024-08-28 20:58:28 发布
最新推荐文章于 2024-08-28 20:58:28 发布
阅读量1k 收藏 9
点赞数 10
分类专栏: 安全测试 文章标签: 安全性测试 java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JennyXi2001/article/details/137166769
版权

用户认证安全性测试

认证与会话管理

认证–Authentication

认证实际上就是一个验证凭证的过程
目的是为了认出用户是谁

01 常见认证方式

在这里插入图片描述

02 session认证

在这里插入图片描述

  • SessionID一旦在生命周期内被窃取,就等于账户失窃
  • Session劫持就是一种通过窃取用SessionID后,使用该SessionID登录进目标账户的攻击方法
Session Fixation攻击

在这里插入图片描述

Session保持攻击

在这里插入图片描述

03 Token认证

在这里插入图片描述

多因素认证

因此为了增强安全性,大多数网上银行和网上支付平台都会采用双因素或多因素认证

在这里插入图片描述

session和token区别
  • session

Session(会话):
1.会话是在客户端和服务器之间建立的持续通信连接,用于跟踪用户在应用程序或网站上的活动状态。
2.会话通常由服务器创建,并与特定用户相关联。一旦建立,服务器会为用户分配一个唯一的会话标识符(通常是会话 ID),识别用户的请求。
3.会话通常在用户登录时创建,并在用户退出登录或超时一段时间后销毁。它可以存储用户的临时数据,在用户与服务器之间的多个请求之间共享。

  • token

1.令牌是一个用于身份验证和授权的凭证,通常由服务器颁发给客户端
2.令牌可以是持久的(长期有效)或短暂的(一次性)。
3.在身份验证方面,令牌通常是通过用户名和密码进行身份验证后,由服务器签发给客户端的。客户端在将来的请求中可以使用令牌来证明其身份,而无需再次提供用户名和密码。
4.在授权方面,令牌可以包含授权信息,`允许客户端访问特定资源或执行特定操作。

04 暴力破解

密码的那些事

密码是最常见的认证手段,持有正确密码的人被认为是可信的
密码的优点是使用成本低,认证过程实现起来很简单
缺点是密码认证是一种比较弱的安全方案,可能会被猜解
“密码强度”是设计密码认证方案时第一个需要考虑的问题

密码设置推荐策略
  • 密码长度方面

普通应用要求长度为6位以上
重要应用要求长度为8位以上,并考虑双因素认证

  • 密码复杂度方面

密码区分大小写字母
密码为大写字母、小写字母、数字、特殊符号中两种以上的组合
不要有连续性的字符,比如:1234abcd
尽量避免出现重复的字符,比如:1111

  • 其他

不要使用用户公开的数据或者个人隐私相关的数据作为密码

会话–Authorization

授权是授予用户可以操作的权限
目的是为了决定用户能够做什么

权限控制

权限管理方式

在这里插入图片描述

垂直权限管理

在这里插入图片描述

1.使用“最小权限原则”
2.使用“默认拒绝”的策略
3.只对有需要的主体单独配置“允许”的策略

水平权限管理

在这里插入图片描述

1.水平权限管理问题,至今仍然是一个难题
2.它难以发现,难以在统一框架下解决
3.很难通过扫描等自动化测试方法将这些问题全部找出

只要名字够长就有猪跟着念
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--13--登录认证安全测试
武天旭的博客
09-12 9277
1、密码明文传输 1、漏洞描述 密码明文传输一般存在于web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取 2、检测条件 确定一个或多个常用应用程序包含的可访问的管理界面。 3、检测方法 1、找到网站或者web系统登录页面或者敏感数据提交页面。 2、通过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder等等,分析其数据包中相关p...
用户认证安全测试
weixin_34187822的博客
11-03 361
主要分为以下几点: 明确区分系统中不同用户的权限 系统中会不会出现用户冲突 系统会不会因为用户权限的改变照成混乱 用户登录密码是否可见、可复制 是否可以通过绝对路径登录系统(拷贝用户登录后的链接直接进去系统) 用户退出系统后是否会删除了所有签权标记,是否可以使用后退按钮不通过输入口命令进入系统   参考文档:http://blog.csdn.net/flm20...
交易所安全测试--用户认证
m0_37598434的博客
03-09 735
0x07 用户认证 一、概述 用户认证安全方面的安全问题也许单单从技术层面上讲,并不是一种非常复杂的问题,因为解决起来并不怎么困难;但如果从交易所的实际交易业务层面来看,用户认证方面如果存在安全隐患,那将是非常可怕的。简单试想一下,如果一个黑客可以通过任意账号的用户认证,那这位攻击者会对那些账户里的余额做什么呢… 这只是用户认证安全问题的一个小例子,当然同类的问题还有很多,虽然不尽相同,但其破坏性...
安全测试的策略
KIKI_20170120的博客
04-03 914
安全测试测必要性 系统如果有功能性bug,最多是体验不好,损失点用户,本质上问题不是很大,青山还在,柴还有得砍。但是如果有高危漏洞,被黑客入侵,往小了说,服务可能瘫痪导致用户或资金的损失,或是数据丢失和泄露,或是服务资源被黑客恶意利用,或是公司被勒索,导致公司业务无法正常运作或是损失过大。但是往大了说,如果黑客在入侵后在该司对外网站上挂上任何和黄赌毒反动等相关的任何内容,那么就不是公司自己的问题了,根据严重情况决定解决,小则罚款停业整顿,大则直接关停。 安全测试的策略 安全性测试(Security T
(一)安全测试基础:安全测试的内容
gzytester的博客
03-05 4827
引言:软件安全性与软件的易用性相悖,易用性较强的软件往往安全性比较差,安全性较强的软件易用性交叉,在进行安全性测试时应当考虑安全性需求与功能、易用性的协调,取得软件系统整体性能的平衡点。 安全测试的内容 1.用户认证机制 用户认证是指软件系统用户在使用软件或系统时,必须提供用户身份证明,然后软件系统根据用户数据库资料,开放特定的权限给登录用户。 目前主要的用户认证机制分类: 数字证书:数字证书又称数字签名,通常是基于对称对加密的,这是一种检验用户身份的电子文件,提供较强的...
安全性测试
yyj173637的博客
04-19 210
软件安全性测试包括程序、网络、数据库安全性测试安全测试检查系统对非法侵入的防范能力。安全测试期间,测试人员假扮非法入侵者,采用各种办法试图突破防线。例如,①想方设法截取或破译口令;②专门定做软件破坏系统的保护机制;③故意导致系统失败,企图趁恢复之机非法进入;④试图通过浏览非保密数据,推导所需信息,等等。理论上讲,只要有足够的时间和资源,没有不可进入的系统。因此系统安全设计的准则是,使非法侵入的代价超过被保护信息的价值。此时非法侵入者已无利可图。
安全性测试认证授权
zzzmmmkkk的专栏
11-29 6292
在web安全中,认证授权又是每个人都熟知的,就像我们都应该设置一个高强度的密码,以免被猜测破解,实际上还包括更多内容。   1. 权限 在很多系统如CRM,ERP,OA中都有权限管理,其中的目的一个是为了管理公司内部人员的权限,另外一个就是避免人人都有权限而帐号泄漏后会对公司带来的负面影响。   权限一般分为2种:访问权限和操作权限。访问权限即是某个页面的权限,对于特定的一些页面只有特定
三菱GX WORKS3连接FX5U系列PLC时,弹出窗口提示:用户认证功能或安全性强化模式未启用.docx
03-30
### 三菱GX WORKS3连接FX5U系列PLC时,弹出窗口提示:用户认证功能或安全性强化模式未启用 #### 背景介绍 在工业自动化领域中,三菱FX5U系列PLC(Programmable Logic Controller,可编程逻辑控制器)因其强大的功能...
WEB安全性测试测试用例(基础)
06-06
### WEB安全性测试测试用例(基础) #### 一、输入验证 输入验证是Web安全测试中的一个重要环节,它主要关注用户提交的数据是否符合预期的格式和类型,旨在防止恶意数据被提交到系统中,造成安全漏洞。以下是几种...
Web系统的安全性测试之文件和目录测试
01-27
Web系统的安全性测试包括以下内容:(1)Web漏洞扫描(2)服务器端信息测试(3)文件和目录测试(4)认证测试(5)会话管理测试(6)权限管理测试(7)文件上传下载测试(8)信息泄漏测试(9)输入数据测试(10)跨站脚本攻击测试(11)...
软件系统的安全性测试
10-15
安全性测试方法 ,1. 功能验证 功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。 2. 漏洞扫描 安全漏洞...
安全性测试:以用户登录为例
闫振兴的博客
01-29 6625
安全性测试包括很多方面,安全性测试的工具又有很多,其中以AppScan最为全面,他几乎涵盖了所有安全测试的问题,并且能够生成一个安全测试报告。 以用户登录为例,安全测试需要注意哪些方面: 密码问题: 验证储存在后台的用户密码是否加密。 验证用户密码在网络中传输是否加密。 验证用户面是否具有时效性,到期后是否提示用户更改密码。 验证密码输入框是否支持...
vulnhub靶机 DC-9(渗透测试详解)
2301_78721909的博客
08-14 578
vulnhub靶机 DC-9(渗透测试详解)
阿里云服务器 篇七:服务器热备份/定时备份
生活在别处
08-24 1984
Python 客户端用于百度云(个人云存储)百度云/百度网盘 Python 客户端。它主要用于在 Linux 环境下通过命令行操作百度云盘的 2TB 存储空间。是一个Github开源项目,这是一个百度云/百度网盘Python客户端。: 列出百度 PCS 中的 ‘remotepath’ 目录。: 从本地目录同步到远程目录。: 在百度云中创建一个目录。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 1950
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
开发多线程程序时,需要注意那些问题
OO_SEN的博客
08-23 2313
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
linux上datax 安装以及使用
寂夜了无痕的博客
08-24 2525
linux上datax 安装以及使用
操作系统原子操作
zzt_is_me的博客
08-28 747
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
Java设计模式之建造者模式详细讲解和案例示范
最新发布
weixin_39996520的博客
08-28 523
建造者模式是一种创建型设计模式,允许用户通过一步步地构造复杂对象的方式来避免直接使用大量的构造函数或复杂的初始化过程。它通过将对象的创建过程分解为多个步骤,并允许这些步骤以链式调用的方式来执行,最终生成一个完全构建的对象。首先,我们定义一个Order类,该类包括了多个字段,如订单ID、客户信息、商品列表、配送地址等。// Getter方法省略...在这个例子中,类提供了构建Order对象所需的各个方法,每个方法返回实例,以便进行链式调用。
安全性测试:日志审核与系统防护
在进行安全性测试时,日志审核是一个至关重要的环节,它能帮助检测主机日志的完整性与准确性。日志审核主要包括三个方面:应用程序日志、安全日志和系统日志。应用程序日志记录了应用的运行状态和异常信息;安全日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值