OWASP top10(OWASP十大应用安全风险)之A2 认证失败(Broken Authentication)

最新推荐文章于 2024-04-11 20:33:06 发布
最新推荐文章于 2024-04-11 20:33:06 发布
阅读量3.3k 收藏 5
点赞数 1
分类专栏: OWASP 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39682037/article/details/104864540
版权

top2 认证失败(Broken Authentication)

损坏的身份验证漏洞可能使攻击者能够使用手动和/或自动方法来尝试控制他们在系统中想要的任何帐户,甚至更糟的是,获得对系统的完全控制。

具有损坏的身份验证漏洞的网站在网络上非常常见。身份验证失败通常是指在应用程序身份验证机制上发生的逻辑问题,例如不良会话管理容易导致用户名枚举-恶意行为者使用蛮力技术猜测或确认系统中的有效用户时。

为了最大程度地减少破坏身份验证的风险,请避免让网站的所有访问者可以公开访问管理员的登录页面:

  • /wp-admin
  • /index.php/admin
  • /user/admin

身份验证漏洞的类型

如果Web应用程序包含以下身份验证漏洞,则该漏洞:

  • 允许自动攻击,例如凭证填充,攻击者在其中拥有有效的用户名和密码列表。
  • 允许蛮力或其他自动攻击。
  • 允许使用默认密码,弱密码或众所周知的密码,例如“ Password1”或“ admin / admin”。
  • 使用薄弱或无效的凭据恢复以及忘记了密码的过程,例如“基于知识的答案”,这是不安全的。
  • 使用纯文本,加密或弱哈希密码。
  • 缺少或无效的多因素身份验证。
  • 在URL中公开会话ID(例如,URL重写)。
  • 成功登录后不轮换会话ID。
  • 没有正确地使会话ID无效。用户会话或身份验证令牌(尤其是单点登录(SSO)令牌)在注销或一段时间不活动期间未正确失效。

最低0.47元/天 解锁文章
qq_39682037
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络攻击技术——Broken authentication
qq_43416206的博客
03-23 83
应用程序中,如果验证和会话(Session)管理的功能没有正确实现时,导致攻击者可以窃取用户密码,会话令牌或利用其他漏洞来伪装成其他用户身份。本文介绍了验证破坏和会话劫持攻击,通过具体的例子介绍了会话(Session)在浏览器中的工作原理,通过Cookie来保持身份认证的服务端状态,这种保持可能是基于会话(Session)的,也可以是通过在Url中嵌入SessinId持久化。接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。
OWASP TOP10系列之#TOP2# A2-损坏的身份认证
weixin_43125873的博客
08-07 303
系列文章目录 提示:本系列将介绍OWASP TOP10 安全漏洞相关介绍,主要针对漏洞类型、攻击原理以及如何防御进行简单讲解;如有错误,还请大佬指出,定会及时改正~ 文章目录系列文章目录前言一、损坏的身份认证漏洞是什么?二、什么情况下会发生损坏的身份认证漏洞三、如何预防?四、身份验证的保证级别 1:密码级别 2:多因素身份验证级别 3:基于密码的身份验证会话管理会话生成和到期总结 前言 损坏的身份认证,即Broken Authentication 一、损坏的身份认证漏洞是什么? 由于身份认证和访问
【webGoat】Broken Authentication
10-02 1262
【中断的身份验证】
OWASP TOP 10
最新发布
qq_53058639的博客
04-11 941
OWASP Top 10简介Project,开放式Web应用程序安全项目)是一个在线社区,开源的、非盈利的全球性安全组织,主要在Web应用安全领域提供文章、方法论、文档、工具和技术,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部,近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
Webgoat8(A2) Broken Authentication
weixin_44689968的博客
04-14 554
1.Authentication Bypasses 输入框随意输入:test,test 点击Submit,并使用Burpsuite抓包 Action–>Repeater 修改参数名为secQuestion3和secQuestion4 2.JWT tokens 先点击删除 使用burpsuite抓包
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
本资源为 OWASP-TOP10-2021 中文版V1.0.pdf,是一个关于 Web 应用程序安全的指南,旨在帮助开发者和安全专家识别和避免常见的安全风险。该资源涵盖了 OWASP-TOP10-2021 的项目介绍、使用方法、风险因素、预防措施、...
OWASP-TOP10-2021中文版V1.0
01-28
2021 版本的 OWASP TOP 10 清单涵盖了以下十大安全风险: 1. 失效的访问控制(Broken Access Control) 2. 加密机制失效(Cryptographic Failures) 3. 注入(Injection) 4. 不安全设计(Insecure Design) 5. ...
OWASP应用安全设计指导.pdf
02-20
OWASP 应用程序安全设计项目重点是突出一些重要的安全设计原则与步骤,开发人员和架构师必 须遵循它们来进行安全应用程序设计。通过设计审核,我们可以发现其中的风 险,然后采取措施在设计中避免这种风险
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP Top 10是开源网络应用安全项目,旨在帮助开发者和安全专业人士了解和防止常见的网络应用安全风险。2021年版OWASP Top 10发布,带来了许多变化和改进。本文将对OWASP Top 10的重要知识点进行详细解释。 项目...
多罗叶指-Web安全OWASP TOP10漏洞.pdf
06-18
Tsrc线上培训PPT 讲解人 冰尘
WebGoat (A2) Broken Authentication -- Authentication Bypasses (认证绕过)
箭雨镜屋
03-07 1402
目录 一、奇怪的闯关 二、糊涂的代码 三、简单的脑图 一、奇怪的闯关 这道题的目的是绕过对安全问题的验证,获得修改密码的权限。 像上图这样随便乱填两个框,submit之后,burpsuite抓到下面这个报文,把这个报文send to repeater 由于这一页的题目上面举了个例子,是删掉secQuestion0和secQuestion1两个参数就可以的,所以一开始我以为这题也这么操作就好了。但实际上这样操作是要报错的,像下图这样。 既然不能删除,那应该有其他诡异。既然secQu
OWASP: Broken Authentication and Session Management
拾月公子
12-23 552
OWASP: Broken Authentication and Session Management
WebGoat (A2) Broken Authentication -- Password reset (密码重置)
箭雨镜屋
03-10 2274
第2页 这一页就是试试webwolf好不好使 webwolf从这里下载:https://github.com/WebGoat/WebGoat/releases 如果下载很慢或者失败的话,可以在webwolf-8.1.0.jar文件上右键复制链接,然后复制到这个网站下载:https://d.serctl.com/ webwolf v8.1.0应该和webgoat v8.1.0一样,也要java 11. 打开的命令是: java -jar webwolf-8.1.0.jar --server.ad
Web API 入门指南 - 闲话安全
weixin_30732825的博客
09-21 327
Web API入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及Web API提供的安全机制。 目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Broken Authentication...
开发人员哪些错误不能犯_开发人员:不要在您的应用程序中犯这些十大安全错误
weixin_26722031的博客
07-31 1333
开发人员哪些错误不能犯As a developer, you’re the first line of defense against data breaches. You should know what to look out for, and you have a responsibility to your users to follow best practices. 作为开发人员,您是...
bWAPP解题笔记——A4-Broken Auth. & Session Mgmt.
FunkyPants的博客
09-06 2562
Broken Auth. & Session Mgmt. Insecure Login Forms low ??? medium 查看源码 跟踪unlock_secret()方法,很简单的逻辑 function unlock_secret() { var bWAPP = "bash update killed my shells!" var a = b...
owasp top10
03-27
OWASP Top 10是由Open Web Application Security Project(OWASP)组织发布的一个关于Web应用程序安全风险的列表。它列出了当前最常见的Web应用程序安全漏洞,帮助开发人员和安全专家了解并解决这些问题。 以下是OWASP Top 10的最新版本(2021): 1. 注入(Injection):指的是攻击者通过将恶意代码注入到应用程序的输入中来执行非法操作,如SQL注入、OS命令注入等。 2. 跨站脚本(Cross-Site Scripting,XSS):攻击者通过在Web应用程序中插入恶意脚本来窃取用户信息或篡改网页内容。 3. 不安全的身份验证(Broken Authentication):指的是应用程序在用户身份验证和会话管理方面存在漏洞,如弱密码、会话劫持等。 4. 暴露的敏感数据(Sensitive Data Exposure):指的是应用程序未正确保护敏感数据,导致攻击者可以获取到用户的敏感信息。 5. XML外部实体(XML External Entities,XXE):攻击者利用XML解析器的漏洞来读取本地文件、执行远程请求等操作。 6. 不安全的访问控制(Broken Access Control):指的是应用程序未正确实施访问控制机制,导致攻击者可以越权访问或修改数据。 7. 安全配置错误(Security Misconfiguration):指的是应用程序或服务器配置不当,导致安全漏洞的存在,如默认密码、错误的权限设置等。 8. 跨站请求伪造(Cross-Site Request Forgery,CSRF):攻击者通过伪造合法用户的请求来执行非法操作,如修改用户信息、发起转账等。 9. 使用已知的漏洞组件(Using Components with Known Vulnerabilities):指的是应用程序使用已知存在漏洞的第三方组件,导致攻击者可以利用这些漏洞进行攻击。 10. 不足的日志记录和监控(Insufficient Logging & Monitoring):指的是应用程序未正确记录和监控安全事件,导致无法及时发现和应对攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值