top2 认证失败(Broken Authentication)
损坏的身份验证漏洞可能使攻击者能够使用手动和/或自动方法来尝试控制他们在系统中想要的任何帐户,甚至更糟的是,获得对系统的完全控制。
具有损坏的身份验证漏洞的网站在网络上非常常见。身份验证失败通常是指在应用程序身份验证机制上发生的逻辑问题,例如不良会话管理容易导致用户名枚举-恶意行为者使用蛮力技术猜测或确认系统中的有效用户时。
为了最大程度地减少破坏身份验证的风险,请避免让网站的所有访问者可以公开访问管理员的登录页面:
- /wp-admin
- /index.php/admin
- /user/admin
- …
身份验证漏洞的类型
如果Web应用程序包含以下身份验证漏洞,则该漏洞:
- 允许自动攻击,例如凭证填充,攻击者在其中拥有有效的用户名和密码列表。
- 允许蛮力或其他自动攻击。
- 允许使用默认密码,弱密码或众所周知的密码,例如“ Password1”或“ admin / admin”。
- 使用薄弱或无效的凭据恢复以及忘记了密码的过程,例如“基于知识的答案”,这是不安全的。
- 使用纯文本,加密或弱哈希密码。
- 缺少或无效的多因素身份验证。
- 在URL中公开会话ID(例如,URL重写)。
- 成功登录后不轮换会话ID。
- 没有正确地使会话ID无效。用户会话或身份验证令牌(尤其是单点登录(SSO)令牌)在注销或一段时间不活动期间未正确失效。