《OWASP Top 10--失效的身份认证和会话管理》

说明：本文章仅限于对失效身份认证和会话管理的学习和了解

1、定义

身份认证：身份认证最常用于系统登录，形式一般为用户名和密码登录方式，在安全性要求较高的情况下，还有验证码、客户端证书、Ukey等

会话管理：HTTP利用会话机制来实现身份认证，HTTP身份认证的结果往往是获得一个令牌并放在cookie中，之后的身份识别只需读授权令牌，而无需再次进行登录认证

2、原理

  开发者通常会建立自定义的认证和会话管理方案。但与身份认证和回话管理相关的应用程序功能往往得不到正确的实现，要正确实现这些方案却很难，结果在退出、密码管理、超时、密码找回、帐户更新等方面存在漏洞，这就导致了攻击者攻击者破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份（暂时或永久的）

3、危害

  可能导致部分甚至全部账户遭受攻击，攻击者一旦成功，攻击者能执行受害用户的任何操作。因此管理员账户、特权账户是常见的攻击目标

4、检测失效的身份认证和会话管理

        4.1、用户身份验证凭证没有使用哈希或加密保护

        4.2、认证凭证可猜测，或者能够通过薄弱的的帐户管理功能（例如账户创建、密码修改、密码恢复, 弱会话ID）重写

        4.3、会话ID暴露在URL里 （例如URL重写）

        4.4、会话ID容易受到会话固定（session fixation）的攻击

        4.5、会话ID没有超时限制，或者用户会话或身份验证令牌特别是单点登录令牌在用户注销时没有失效

        4.6、成功注册后,会话ID没有轮转

        4.7、密码、会话ID和其他认证凭据使用未加密连接传输

5、防范

        5.1、分区公共区域和受限区域：站点的公共区域允许任何人用户进行匿名访问，受限区域只能接受特定用户的访问

       5.2、对cookie内容进行加密

        5.3、可以设置锁定账户策略

        5.4、设置密码和会话的有效期，并使用强密码（密码必须是数字和字母的组合）

        5.5、账号密码以密文形式传输