OWASP列举的Web应用程序十大安全漏洞 - 失效的身份认证和会话管理

已于 2022-02-11 13:08:55 修改
阅读量3.6k 收藏 3
点赞数
分类专栏: java web安全 互联网 文章标签: 安全 java
于 2022-02-11 11:28:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31142237/article/details/122875848
版权
互联网 同时被 3 个专栏收录
50 篇文章 0 订阅
订阅专栏
java
14 篇文章 0 订阅
订阅专栏
web安全
5 篇文章 0 订阅
订阅专栏

失效的身份认证和会话管理

1、原理

身份认证:最常见的是登录功能,往往是提交用户名和密码,在安全性要求更高的情况下,有防止密码暴力破解的验证码,基于客户端的证书,物理口令卡等等。

会话管理:HTTP本身是无状态的,利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌,通常放在cookie中,之后对用户身份的识别根据这个授权的令牌进行识别,而不需要每次都要登陆。

2、典型案例

案例1:机票预订应用程序支持URL重写,把会话ID放在URL里:

http://example.com/sale/saleitems;jsessionid=2P0OC2JNDLPSKHCJUN2JV?dest=Hawaii

该网站一个经过认证的用户希望让他朋友知道这个机票打折信息。他将上面链接通过邮件发给他朋友们,并不知道自己已经泄露了自己的会话ID。当他的朋友们使用上面的链接时,他们将会使用他的会话和信用卡。

案例2:应用程序超时设置不当。用户使用公共计算机访问网站。离开时,该用户没有点击退出,而是直接关闭浏览器。攻击者在一个小时后能使用相同浏览器通过身份认证。

案例3:内部或外部攻击者进入系统的密码数据库。存储在数据库中的用户密码没有被加密,所有用户的密码都被攻击者获得。

3、防范方法

  1. 强制使用一定复杂度的密码且加密存储,登录验证使用用户名、密码、后台验证码三者结合,验证码具有时效性,登录失败后的提示信息模糊化,不得提示具体是用户名错误还是密码错误。
  2. 登录后的接口均需要携带认证后的token方可正确访问,token具有时效性,超时将会失效,时效时长设置合理。
  3. 不需要认证的接口,也需要采用公司内部制定的token生成方法,前端工程师调用接口时携带,且前端代码必须被混淆。
Survivor001
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
墨者学院靶场---身份认证失效漏洞实战
wsjshishuaige的博客
05-10 201
MD5在线加密/解密/破解—MD5在线 (sojson.com)
OWASP top 10漏洞原理及防御(2017版官方)
热门推荐
wwl012345的博客
08-08 1万+
文章目录一、OWASP top 10简介二、OWASP top 10详解A1:2017-注入 一、OWASP top 10简介 1.OWASP介绍 OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有O...
失效身份认证会话管理
whoim_i的博客
11-20 1万+
目录身份认证会话管理失效身份认证会话管理原理危害案例如何判断如何防范1、区分公共区域和受限区域2、对最终用户帐户使用帐户锁定策略3、支持密码有效期4、能够禁用帐户5、不要存储用户密码6、要求使用强密码7、不要在网络上以纯文本形式发送密码8、保护身份验证 Cookie9、使用 SSL 保护会话身份验证 Cookie10、对身份验证 cookie 的内容进行加密11、限制会话寿命12、避免未经授...
服务器端漏洞篇之身份验证专题
最新发布
小司机的奥拓
05-18 665
PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。burp官方说他们建议初学者先看服务器漏洞篇,因为初学者只需要了解服务器端发生了什么就可以了。
OWASP Top 10--失效身份认证会话管理
ccAbner的博客
05-07 5446
说明:本文章仅限于对失效身份认证会话管理的学习和了解1、定义身份认证身份认证最常用于系统登录,形式一般为用户名和密码登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等会话管理:HTTP利用会话机制来实现身份认证,HTTP身份认证的结果往往是获得一个令牌并放在cookie中,之后的身份识别只需读授权令牌,而无需再次进行登录认证2、原理  开发者通常会建立自定义的认证会话管理...
安全漏洞——失效身份认证会话管理(二)
weixin_41367084的博客
08-26 2333
一、失效身份认证会话管理漏洞 1.定义 2.名词解释 3.造成缺陷原因 4.举例 5.防止攻击手段 一、失效身份认证会话管理漏洞 1.定义:应用程序中与身份验证或者会话相关的功能未正确实现,导致攻击者可以破坏密码、密钥、会话令牌或者利用其他缺陷来假冒用户的身份,达到攻击的目的。 2.名词解释: Session 服务器端记录用户的信息,当用户完成身份认证后,存储所需要的用户资料。 - Cookie 服务器端发送,存储在客户端。在用户访问网站的时候建立(登陆),用于跟踪用户在网站中的活动,每次请求和客.
二、失效身份认证漏洞
weixin_46849264的博客
03-01 670
失效身份认证漏洞
2023_OWASP TOP10_漏洞详情
qq_44484541的博客
04-14 8249
OWASP TOP 10 漏洞讲解。、失效身份认证会话管理。、使用含有已知漏洞的组件。、直接引用不安全的对象。、缺少功能级的访问控制。、未验证的重定向和转发。
WSTG(Web 应用程序安全测试)OWASP - 思维导图.pdf
10-06
OWASP(开放网络应用安全项目)的Web应用程序安全测试指南(WSTG)提供了一套全面的方法论,帮助测试人员发现并修复潜在的安全漏洞。以下是对这些知识点的详细解释: 1. 项目信息收集:这是渗透测试的第一步,包括...
漏洞Web应用程序:OWASP漏洞Web应用程序项目https://github.comhummingbirdscyber
01-30
漏洞Web应用程序分类包括命令执行,文件包含,文件上载,SQL和XSS。 对于需要数据库的类别,它会在安装过程中使用一个按钮在localhost下创建数据库。 如果数据库损坏或更改,则可以再次创建数据库。 安装指南 如果...
www_wmap:OWASP Web Mapper应用程序-应用程序资产自动发现和跟踪
05-05
Wmap网站门户该Web应用程序是。... Devise -Rails身份验证和用户会话管理解决方案。 Twitter Bootstrap-适用于现代Web应用程序的出色UI样板。 jQuery-伟大JavaScript库,用于JavaScript集成。 CodeMirr
terraform-aws-waf-owasp:Terraform模块上的AWS WAF可缓解OWASP的十大Web应用程序漏洞
02-04
地形| AWS WAF | OWASP十大漏洞 terraform-aws-waf-owasp 重要注意事项 原始资源来自并已适应当前项目的需求。 我们也有作为参考。 子模块选择 ...OWASP十大最关键的Web应用程序安全风险是有关Web应用程序
Application-Gateway:OWASP Application Gateway是处理Oauth2身份验证和会话管理的HTTP代理
05-14
OWASP Application Gateway是一个HTTP反向代理,位于您的Web应用程序和客户端之间,并处理Oauth2登录和会话管理。 对于您来说,作为开发人员,OWASP Application Gateway消除了在后端和前端实现复杂的oauth2逻辑的...
十二个常见的Web安全漏洞总结及防范措施
Innocence_0的博客
12-01 1182
本篇文章部分摘要自《OWASP Top 10 2017》。OWASP,开放式Web应用程序安全项目(Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
2021年最具影响力的七起网络安全事件
qq_42552359的博客
01-10 5898
12月10日公开的Log4j漏洞迅速成为2021年最重要的安全威胁之一。但是,到目前为止,这并不是安全团队全年必须努力解决的唯一问题。与每年一样,2021年也发生了影响许多组织的其他大数据泄露和安全事件。 根据身份盗窃资源中心(ITRC)的数据,截至9月30日,其公开报告了 1,291起违规事件。这一数字已经比2020年全年披露的1,108起违规事件高出17%。如果这种趋势继续下去,2021...
OWASP TOP10(2017)之【失效身份认证
qq_41042211的博客
07-07 960
官方解释 OWASP Top 10 2017 如果应用程序存在如下问题,那么可能存在身份验证的脆弱性: 允许凭证填充,这使得攻击者获得有效用户名和密码的列表。 允许暴力破解或其他自动攻击。 允许默认的、弱的或众所周知的密码,例如“Password1”或“admin/admin”。 使用弱的或失效的验证凭证,忘记密码程序,例如“基于知识的答案”,这是不安全的。 使用明文、加密或弱散列密码(参见:A3:2017-敏感数据泄露)。 缺少或失效的多因素身份验证。 暴露URL中的会话ID(例如URL重写)。 在成功
浅谈网站失效认证会话管理
小太阳~
01-26 7709
身份认证会话管理:   在进一步解释这种危险的漏洞之前,让我们了解一下身份认证会话管理的基本知识。身份认证,最常见的是登录功能,往往是提交用户名和密码,在安全性要求更高的情况下,有防止密码暴力破解的验证码,基于客户端的证书,物理口令卡等等。   会话管理,HTTP本身是无状态的,利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌,通常放在cookie中,之后对用户身份
JavaWeb开发 —— 登录认证校验和异常处理
hdakj22的博客
04-25 2796
登录校验:会话技术(Cookie、Session、令牌)、JWT令牌、过滤器Filter和拦截器Interceptor以及异常处理:定义全局异常处理器
开源操作系统 OpenBSD 被曝四个严重的认证绕过和提权漏洞(详情)
smellycat000的专栏
12-06 873
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队具有安全基因、免费、基于 BSD 的类 Unix 开源操作系统 OpenBSD 被指存在四个高危安全漏洞。其中一个是存在于 ...
OWASP_TOP10_2010_WEB安全(中文版).docx
12-22
"OWASP_TOP10_2010是中国版本的开放式Web应用程序安全项目(Open Web Application Security Project, OWASP)发布的一份关键Web应用安全风险清单。这份清单在2010年进行了更新,相比于2007年的版本,有显著的变化和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Survivor001

你可以相信我,如果你愿意的话

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值