A2-不当的认证和会话管理

最新推荐文章于 2023-10-28 11:36:37 发布
最新推荐文章于 2023-10-28 11:36:37 发布
阅读量1.2k 收藏
点赞数
分类专栏: OWASP TOP 10 2013
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnsecs/article/details/9930657
版权

1、原因
    认证和会话管理方法设计不当。
    包括注销、密码管理、超时机制、记住用户、密码问题、账户更新等。
    
2、危害
    帐号被盗取,攻击者可以拥有该帐号的所有权限。特权帐号常被攻击。
    
3、发现
    (1)存储口令时使用了不安全的哈希或加密算法。
    (2)利用弱帐号管理功能,猜解或覆盖用户口令(帐号创建、修改密码、找回密码、弱sessionID)。
    (3)sessionID暴露在URL中。
    (4)sessionID在认证通过后没有更新,会受到会话固定攻击。
    (5)sessionID不会超时,或者退出登录后,认证token(尤其SSO token)没有失效。
    (6)口令、sessionID和其他认证字段通过非加密通道传输。
    
4、防护
    (1)认证和会话管理控制系统,满足OWASP ASVS标准(v2-认证,v3-会话管理),并且为开发者提供简单的接口(参考ESAPI Authenticator and User APIs)。
    (2)防止出现xss漏洞。
   
blrk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
欧姆龙E6A2-C编码器手册
04-16
欧姆龙 编码器 E6A2-C小型(外径φ25) • 增量型 • 外径:φ25 • 分辨率(最大):500P/R
会话管理漏洞检测
m0_51426816的博客
02-25 585
会话管理漏洞主要是由于Web应用程序的会话管理缺陷、Cookie属性设置不当等原因造成的,通常采用动态检测技术 流程: (1)Cookie获取:检测主机采用GET或POST请求向被测网站发出HTTP请求包,被测网站做出响应,返回包含Cookie信息的HTTP应答包,建立一个会话 (2)Cookie分析:对被测网站返回的Cookie信息进行分析,确定是否存在相应的漏洞,给出检测结果 1.Cookie属性漏洞检测 检查返回的Cookie属性是否存在设置漏洞 (1)Secure属性:是否使用安全方式传送含有敏感
会话管理隐患与防御 总结
weixin_34007291的博客
11-28 219
什么是会话控制 SESSION COOKIE 服务器记录用户凭证的一个变量。是一个时域(从用户登录到注销的时间域) 指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密) Web开发人员要在无状态的HTTP协议下进行状态维持和控制用户的一次会话需要引入其它的机制,这就是会话管理 在人...
Web渗透测试-测试身份验证和会话管理
最新发布
hst12300的博客
10-28 150
用户名枚举是指对用户名进行系统化的分类和列举。在许多网站和应用程序中,用户需要选择一个唯一的用户名作为其身份标识。为了帮助用户选择合适的用户名,许多平台提供了用户名枚举功能,列出了一系列常见的用户名选项供用户选择。通过用户名枚举,用户可以避免使用与其他用户重复的用户名,增加账户的安全性和唯一性。用户名枚举通常基于一些常见的命名规则和词汇,以及平台特定的限制和要求。例如,常见的用户名枚举选项可能包括以数字结尾的用户名、以姓氏或昵称作为前缀的用户名、以特定关键词或主题相关的用户名等。
信息安全技术(测试身份验证和会话管理
m0_74164189的博客
06-26 228
会话管理测试:测试应用程序中的会话管理功能是否安全。测试会话ID的安全性,包括会话ID的随机性、长度和容易被猜测到的风险等。认证测试:测试登录页面的安全性,包括密码复杂度和强制重置密码的功能。测试不同用户角色的权限分配是否准确,并测试是否存在绕过权限控制的风险。测试是否存在未经授权的密码重置,以及是否存在安全漏洞,如密码重置令牌被劫持等。安全培训和意识教育:通过对员工进行安全培训和意识教育,提高员工对信息安全的重视程度和安全意识,减少安全事故的发生。退出测试:测试应用程序的退出功能是否安全。
【Web安全】认证会话管理
RexHa的博客
12-14 1036
在Web开发中,网站访问量如果比较大,维护Session可能会给网站带来巨大负担。因此,有一种做法,就是服务器端不维护Session,把Session放在Cookie中加密保存。当浏览器访问网站时,会自动带上Cookie,服务器端只需要解密Cookie即可得到当前用户的Session。
CLSI-M23-A2
03-19
Development of In Vitro Susceptibility Testing Criteria and Quality Control Parameters; Approved Guideline 一 Second Edition
BSEN50128-2011+A2-2020
05-08
BSEN50128-2011+A2-2020
python官方3.8.0a2-amd64版本exe安装包
08-11
全名:python-3.8.0a2-amd64.exe python的安装与使用: https://blog.csdn.net/qq_38161040/article/details/87295245
USR-WIFI232-A2-hardware-V1.1.pdf
07-02
济南有人科技的高性能串口转wifi模块的硬件手册,包含引脚定义,尺寸等
OWASP WebGoat---安全测试学习笔记(十七)---会话管理缺陷
光明矢的专栏
10-24 2936
OWASP WebGoat---安全测试学习笔记(十七)---会话管理缺陷
会话控制
weixin_30245867的博客
11-06 457
会话控制1.为什么是会话?a)会话就是对话,现实中的会话.b)客户端和服务器之间的通讯就是会话,计算机中的会话2.什么是会话控制?a)对会话控制就是会话控制.3.HTTP协议a)HTTP协议 超文本传输协议 b)HTTP协议是一个老年痴呆症协议。该协议不会记录任何的状态。COOKIE的工作原理:(会话控制的第一种方式)COOKIE的操作:添加cookieSetCookie(名...
浅谈网站失效的认证会话管理
小太阳~
01-26 7673
身份认证会话管理:   在进一步解释这种危险的漏洞之前,让我们了解一下身份认证会话管理的基本知识。身份认证,最常见的是登录功能,往往是提交用户名和密码,在安全性要求更高的情况下,有防止密码暴力破解的验证码,基于客户端的证书,物理口令卡等等。   会话管理,HTTP本身是无状态的,利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌,通常放在cookie中,之后对用户身份
安全漏洞问题7:失效的身份认证会话管理
weixin_34402408的博客
11-21 2221
安全漏洞问题7:失效的身份认证会话管理1.1. 漏洞描述应用程序的功能一般包含权限管理会话管理,但是由于应用程序设计不当,让攻击者可以窃取到密码、密钥、session tokens等信息,进而冒充合法用户身份,获取敏感信息或者进行恶意操作。1.2. 漏洞危害利用不安全的权限管理会话管理设计,恶意用户可能会窃取或操纵用户会话和 cookie,进而模仿...
逻辑漏洞——会话管理问题
Gjqhs的博客
03-03 633
普及会话与令牌的作用以及针对令牌的常用攻击手段 会话令牌 HTTP协议本身是“无状态”,“无连接”的,也就是说HTTP协议本身并不会记住客户端访问的上下文,也无法保存客户端的各种状态,这其中就包括登录状态。如果HTTP不能保存用户的登录状态,那就意味着用户在每次访问需要身份验证的网站时都必须填写用户名及密码,这里的“每次访问”是指每个单次的HTTP请求包括刷新一次页面。为了解决上述的问题,Web应用程序就需要使用会话这个概念,即用户登录成功后为其建立一个会话,通过会话记录用户的各种状态,通常使用C..
会话管理疏忽引发的安全漏洞
AnitaSun的博客
04-12 192
会话劫持 会话劫持(Session Hijack)是指攻击者通过某种手段拿到了用户的会话ID,并非法使用此会话ID伪装成用户,达到攻击的目的。 获得会话ID的途径 ● 通过非正规的生成方法推测会话ID ● 通过窃听或XSS攻击盗取会话ID ● 通过会话固定攻击(Session Fixation)强行获取会话ID 案例: 会话固定攻击 跨站点请求伪造 指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。 影响: ● 利用已通过认证的用户权限更新
Web 安全之不安全的会话管理
GitChat
07-03 1776
安全会话管理相对 Owasp Top 10的漏洞来说是一个较为冷门的话题,因为即使存在不安全的会话管理也并不能直接证明系统存在安全漏洞;所以对于这类问题白帽子即使发现了也不会报告,而开发者或许并不知道这样设计存在安全隐患,或者认为没有出现漏洞的情况下不会被触发,所以也并不当回事。 会话维持是基于 Cookie 和 Session,浏览器请求时候会在 Header 中发送 Sessionid,这个 ...
认证会话管理
qq_51558360的博客
02-16 359
认证”是最容易理解的一种安全。如果一个系统缺乏认证手段,明眼人都能看出来这是“不安全”的。最常见的认证方式就是用户名与密码,但认证的手段却远远不止于此。 Who am I ? 很多时候,人们会把“认证”和“授权”两个概念搞混,甚至有些安全工程师也是如此。实际上“认证”和“授权”是两件事情,认证的英文是 Authentication ,授权则是 Authorization 。分清楚这两个概念其实很简单,只需要记住下面这个事实: 认证的目的是为了认出用户是谁,而授权的母的是为了决定用户能够做什么。 认证实际上
a2-net yolo
09-22
A2-Net和YOLO是两个不同的算法。A2-Net是一种具有双注意块的体系结构,用于捕捉长期特征相关性并提高图像/视频识别性能。它通过通用的收集和分布函数来捕获长期的特征相关性,并通过较低的计算和内存占用来建模长期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值