OWASP top10(OWASP十大应用安全风险)之A2 认证失败(Broken Authentication)

最新推荐文章于 2024-06-10 12:00:00 发布
最新推荐文章于 2024-06-10 12:00:00 发布
阅读量3.3k 收藏 5
点赞数 1
分类专栏: OWASP 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39682037/article/details/104864540
版权
top2 认证失败(Broken Authentication)损坏的身份验证漏洞可能使攻击者能够使用手动和/或自动方法来尝试控制他们在系统中想要的任何帐户,甚至更糟的是,获得对系统的完全控制。具有损坏的身份验证漏洞的网站在网络上非常常见。身份验证失败通常是指在应用程序身份验证机制上发生的逻辑问题,例如不良会话管理容易导致用户名枚举-恶意行为者使用蛮力技术猜测或确认系统中的有效用户时。为了最...
摘要由CSDN通过智能技术生成

top2 认证失败(Broken Authentication)

损坏的身份验证漏洞可能使攻击者能够使用手动和/或自动方法来尝试控制他们在系统中想要的任何帐户,甚至更糟的是,获得对系统的完全控制。

具有损坏的身份验证漏洞的网站在网络上非常常见。身份验证失败通常是指在应用程序身份验证机制上发生的逻辑问题,例如不良会话管理容易导致用户名枚举-恶意行为者使用蛮力技术猜测或确认系统中的有效用户时。

为了最大程度地减少破坏身份验证的风险,请避免让网站的所有访问者可以公开访问管理员的登录页面:

  • /wp-admin
  • /index.php/admin
  • /user/admin

身份验证漏洞的类型

如果Web应用程序包含以下身份验证漏洞,则该漏洞:

  • 允许自动攻击,例如凭证填充,攻击者在其中拥有有效的用户名和密码列表。
  • 允许蛮力或其他自动攻击。
  • 允许使用默认密码,弱密码或众所周知的密码,例如“ Password1”或“ admin / admin”。
  • 使用薄弱或无效的凭据恢复以及忘记了密码的过程,例如“基于知识的答案”,这是不安全的。
  • 使用纯文本,加密或弱哈希密码。
  • 缺少或无效的多因素身份验证。
  • 在URL中公开会话ID(例如,URL重写)。
  • 成功登录后不轮换会话ID。
  • 没有正确地使会话ID无效。用户会话或身份验证令牌(尤其是单点登录(SSO)令牌)在注销或一段时间不活动期间未正确失效。

最低0.47元/天 解锁文章
qq_39682037
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebGoat (A2) Broken Authentication -- Password reset (密码重置)
箭雨镜屋
03-10 2325
第2页 这一页就是试试webwolf好不好使 webwolf从这里下载:https://github.com/WebGoat/WebGoat/releases 如果下载很慢或者失败的话,可以在webwolf-8.1.0.jar文件上右键复制链接,然后复制到这个网站下载:https://d.serctl.com/ webwolf v8.1.0应该和webgoat v8.1.0一样,也要java 11. 打开的命令是: java -jar webwolf-8.1.0.jar --server.ad
[渗透测试]—4.2 Web应用安全漏洞
Andy0214的专栏
06-27 5827
在本节中,我们将学习OWASP(开放网络应用安全项目)发布的十大Web应用安全漏洞。OWASP十大安全漏洞是对Web应用安全风险进行评估的标准,帮助开发者和安全工程师了解并防范常见的安全威胁。
网络安全方面有哪些认证,看完这篇你就知道了
最新发布
ZL_1618的博客
06-10 1095
常见的网络安全证书主要有:CISP(国家基本信息工作人员)、CISP-PTE(国家申请注册渗入技术工程师)、CISP-A(国家注册系统注册会计师)、CISSP(国际认证信息安全权威专家)、CISA(国际性注册系统注册会计师)、CSIM(国际认证信息安全主管)、Security (信息安全技术专家)、ISO27001 Foundation认证、DevOps Master(开发设计和运维管理)、Prince2 (可控自然环境下的项目风险管理)。
OWASP TOP 10解析:构建坚不可摧的Web应用安全防线
R0ot
02-28 1576
OWASP TOP 10是一个重要的安全指南,涵盖了Web应用程序中最常见的安全风险。在本文中,我们详细讨论了其中的一部分项目,并提供了具体的示例和安全测试代码。以下是一些总结性的建议:定期安全审计: 对Web应用程序进行定期的安全审计,包括代码审查、渗透测试等,以发现潜在的安全问题。持续更新和监控: 确保应用程序使用的所有组件和库都是最新版本,及时修补已知的安全漏洞。实施足够的日志记录和监测,以便及时发现和响应安全事件。
WebGoat (A2) Broken Authentication -- Authentication Bypasses (认证绕过)
箭雨镜屋
03-07 1420
目录 一、奇怪的闯关 二、糊涂的代码 三、简单的脑图 一、奇怪的闯关 这道题的目的是绕过对安全问题的验证,获得修改密码的权限。 像上图这样随便乱填两个框,submit之后,burpsuite抓到下面这个报文,把这个报文send to repeater 由于这一页的题目上面举了个例子,是删掉secQuestion0和secQuestion1两个参数就可以的,所以一开始我以为这题也这么操作就好了。但实际上这样操作是要报错的,像下图这样。 既然不能删除,那应该有其他诡异。既然secQu
bWAPP通关记录(A2)
qq_39670065的博客
08-15 1237
A2 - Broken Auth. & Session MgmtBroken Authentication - CAPTCHA Bypassin(失效的身份认证和会话管理)Broken Authentication - Forgotten FunctionBroken Authentication - Insecure Login FormsBroken Authentication - Logout ManagementBroken Authentication - Password Attack
网址十大风险 mysql_OWASP TOP10 Web应用十大安全风险_2017
weixin_42510453的博客
02-02 389
A1 - Injection 注入介绍:简单来说注入往往是程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的指令转换成指令执行。常见的注入包括SQL注入、OS Shell、LDAP、Xpath、Hibernate等等,其中SQL注入尤为常见。这种攻击造成的后果往往很大,一般整个数据库的信息都能被读取或篡改,通过SQL注入攻击者甚至能获得更多的包括管理员的...
owasp top10原理利用与防御.docx.zip_owasp top10_owasp原理_wasp top 10_wasp
09-24
其最著名的就是“OWASP Top 10”列表,这是一份定期更新的报告,列出了Web应用面临的十大最严重安全威胁。这份文档《OWASP Top 10原理利用与防御》深入探讨了这些威胁,并提供了相应的防护策略。 1. A1: 注入攻击...
OWASP Top10 2017版发布中英文对照最新版.rar
08-01
2. A2: Broken Authentication and Session Management(认证与会话管理缺陷):涉及用户身份验证和会话管理过程中的漏洞,可能导致账户被盗用或者未经授权的访问。 3. A3: Cross-Site Scripting (XSS)(跨站脚本...
OWASP发布Web应用程序的十大安全风险
07-16
### OWASP发布的Web应用程序的十大安全风险解析 #### 一、概述 OWASP(Open Web Application Security Project,开放网络应用程序安全项目)是一个国际性的非营利组织,致力于提高软件安全性。自2003年起,OWASP每...
OWASP_Broken_Web_Apps_VM_1.2
02-16
2. **A2: Broken Authentication**(身份验证失败) - 凭据泄露 - 认证绕过 - 密码恢复机制不安全 3. **A3: Sensitive Data Exposure**(敏感数据暴露) - 不安全的存储 - 不安全的传输 4. **A4: XML External ...
DVWA靶场,集成了owasp top 10漏洞
03-28
2. A2:身份验证和会话管理(Broken Authentication and Session Management) - 当网站的登录、会话控制和用户身份验证机制存在缺陷时,攻击者可能窃取或伪造会话。在DVWA中,你可以研究如何破解密码,篡改会话ID以...
OWASP TOP10系列之#TOP2# A2-损坏的身份认证
weixin_43125873的博客
08-07 316
系列文章目录 提示:本系列将介绍OWASP TOP10 安全漏洞相关介绍,主要针对漏洞类型、攻击原理以及如何防御进行简单讲解;如有错误,还请大佬指出,定会及时改正~ 文章目录系列文章目录前言一、损坏的身份认证漏洞是什么?二、什么情况下会发生损坏的身份认证漏洞三、如何预防?四、身份验证的保证级别 1:密码级别 2:多因素身份验证级别 3:基于密码的身份验证会话管理会话生成和到期总结 前言 损坏的身份认证,即Broken Authentication 一、损坏的身份认证漏洞是什么? 由于身份认证和访问
OWASP top10OWASP十大应用安全风险)之A5 存取控制中断(Broken Access Control)
qq_39682037的博客
03-18 3605
存取控制中断(Broken Access Control) 在网站安全中,访问控制意味着根据访问者的需求限制访问者可以访问的部分或页面。 例如,如果您拥有一家电子商务商店,则可能需要访问管理面板才能添加新产品或为即将到来的假期设置促销。但是,几乎没有其他人会需要它。允许网站的其他访客访问您的登录页面只会使您的电子商务商店受到攻击。 这就是当今几乎所有主要内容管理系统(CMS)的问题。默认情况下,他...
OWASP top10OWASP十大应用安全风险)之A3 敏感数据暴露(Sensitive Data Exposure)
qq_39682037的博客
03-17 3493
TOP10 敏感数据暴露(Sensitive Data Exposure) 敏感数据公开是OWASP列表上最普遍的漏洞之一。它包括损害应该受到保护的数据。 敏感数据示例 一些需要保护的敏感数据是: 证书 信用卡号码 社会安全号码 医疗信息 个人身份信息(PII) 其他个人信息 我国于2016年11月7日颁布并于2017年6月1日正式生效的《中华人民共和国网络安全法》(简称“《网络安全法》”...
OWASP top10OWASP十大应用安全风险)之A8 不安全的反序列化 (Insecure Deserialization)
qq_39682037的博客
03-18 3209
TOP8不安全的反序列化 (Insecure Deserialization) 注意:OWASP Top 10指出,此安全风险是由行业调查添加的,并非基于可量化的数据研究。 每个Web开发人员都需要使攻击者/安全研究人员尝试使用与应用程序交互的所有内容(从URL到序列化对象)的事实,使和平。 在计算机科学中,对象是数据结构。换句话说,一种构造数据的方式。为了更容易理解一些关键概念: 序列化的过程...
OWASP top10OWASP十大应用安全风险)之A9 使用具有已知漏洞的组件 (Using Components with Known Vulnerabilities)
qq_39682037的博客
03-19 3028
TOP9 使用具有已知漏洞的组件 (Using Components with Known Vulnerabilities) 简单的网站(例如个人博客)对其具有很大的依赖性。毫无疑问,如果不更新网站后端和前端上的每个软件,无疑会给人们带来沉重的安全风险,而不是迟早会带来风险。虽然这可能有点讽刺,但是每次您忽略更新警告时,您可能都允许一个已知的漏洞在您的系统中幸存。相信我,网络犯罪分子会迅速调查软件...
OWASP top10OWASP十大应用安全风险)之A6 安全性错误配置(Security Misconfigurations)
qq_39682037的博客
03-18 3000
安全性错误配置(Security Misconfigurations) 从本质上讲,蛮力是尝试许多可能的组合的行为,但是此攻击有多种变体,可以提高成功率。这是最常见的: 未修补的缺陷 默认配置 未使用的页面 未受保护的文件和目录 不必要的服务 网站管理员最常见的缺陷之一就是保持CMS默认配置。 从安全角度来看,对于最终用户而言,今天的CMS应用程序(尽管易于使用)可能会很棘手。到目前为止,最常...
OWASP TOP10 2010:Web安全关键风险解析
"OWASP TOP10 2010WEB安全(中文版) - 描述了2010年OWASP发布的Web应用程序安全十大关键风险,包括风险的命名变化、评估方法以及新增和替换的风险类别。" OWASP TOP10 2010是一个重要的网络安全参考列表,由开放式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值