OWASP TOP10(2017)之【失效的身份认证】

最新推荐文章于 2024-09-09 01:05:39 发布
最新推荐文章于 2024-09-09 01:05:39 发布
阅读量1k 收藏 5
点赞数
分类专栏: Web安全相关 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41042211/article/details/118519533
版权

官方解释

OWASP Top 10 2017

如果应用程序存在如下问题,那么可能存在身份验证的脆弱性:

  • 允许凭证填充,这使得攻击者获得有效用户名和密码的列表。
  • 允许暴力破解或其他自动攻击。
  • 允许默认的、弱的或众所周知的密码,例如“Password1”或“admin/admin”。
  • 使用弱的或失效的验证凭证,忘记密码程序,例如“基于知识的答案”,这是不安全的。
  • 使用明文、加密或弱散列密码(参见:A3:2017-敏感数据泄露)。
  • 缺少或失效的多因素身份验证。
  • 暴露URL中的会话ID(例如URL重写)。
  • 在成功登录后不会更新会话ID。
  • 不正确地使会话ID失效。当用户不活跃的时候,用户会话或认证令牌(特别是单点登录(SSO)令牌)没有正确注销或失效。

如何防止?

  • 在可能的情况下,实现多因素身份验证,以防止自动、凭证填充、暴力破解和被盗凭据再利用攻击。
  • 不要使用发送或部署默认的凭证,特别是管理员用户。
  • 执行弱密码检查,例如测试新或变更的密码,以纠正“排名前10000个弱密码” 列表。
  • 将密码长度、复杂性和循环策略与NIST-800-63 B的指导方针的5.1.1章节-记住秘密,或其他现代的基于证据的密码策略相一致。
  • 确认注册、凭据恢复和API路径,通过
最低0.47元/天 解锁文章
【Java代码审计】失效身份认证
大河之犬的博客
01-12 1176
失效身份认证是指错误地使用应用程序的身份认证和会话管理功能,使攻击者能够破译密码、密钥或会话令牌,或者利用其他开发漏洞暂时或长久地冒充其他用户的身份,导致攻击者可以执行受害者用户的任何操作。失效身份认证其实是指令牌等设计不合理,为攻击者提供了可乘之机。用户身份认证和会话管理是一个应用程序中最关键的过程,有缺陷的设计会严重破坏这个过程。在开发 Web 应用程序时,开发人员往往只关注 Web 应用程序所需的功能。
OWASP TOP102017年)
qq_34815358的博客
01-24 1882
13    OWASP TOP102017年) 注:OWASP是世界上最知名的Web安全与数据库安全研究组织 参考文档: https://blog.csdn.net/lifetragedy/article/details/52573897 http://www.sohu.com/a/139968130_669829 13.1    SQL注入 通过sql语句,插入到web表单提交或输入域名或页...
OWASP TOP 10 及防御
qq_21193587的博客
05-31 5540
什么是 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。 其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。 最重要的版本 应用程序中最严重的十大风险 A1 注入漏洞 在 2013、2017 的版本中都是第一名,可见此漏洞的引入是多么的
OWASP十大安全漏洞解析
最新发布
m0_74080781的博客
09-09 867
OWASP(开放式Web应用程序安全项目)发布的“十大安全漏洞”列表是Web应用程序安全领域的权威指南,它总结了Web应用程序中最常见、最危险的安全隐患。以上是对OWASP十大安全漏洞的详细解析,这些漏洞是Web应用程序安全领域中最常见、最危险的安全隐患。描述:攻击者将恶意脚本嵌入到应用程序的响应中,当其他用户浏览这些响应时,恶意脚本会在用户的浏览器上执行。描述:应用程序在反序列化数据时未进行适当的安全检查,导致攻击者可以注入恶意对象。描述:应用程序未对敏感数据进行适当的保护,导致敏感数据被泄露。
二、失效身份认证漏洞
weixin_46849264的博客
03-01 728
失效身份认证漏洞
最新十大web安全隐患-四年之后_OWASP发布新版本OWASP Top10 2017
nicenelly的博客
11-23 3274
OWASP Top10是什么?      OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。      OWASP Top 10则是OWASP项目总结的10大最关键Web应用安全隐患列表。    有什么新的变化?  OWASP(开放
OWASP TOP10-A2:失效身份认证
qq_45405626的博客
03-11 1144
OWASP TOP10第二类漏洞:失效身份认证简单易懂的介绍
OWASP Top10 2017版发布中英文对照最新版.rar
08-01
2. A2: Broken Authentication and Session Management(认证与会话管理缺陷):涉及用户身份验证和会话管理过程中的漏洞,可能导致账户被盗用或者未经授权的访问。 3. A3: Cross-Site Scripting (XSS)(跨站脚本...
owasp top10 2017 最新版
01-23
A2: 失效的身份验证(Broken Authentication) 涉及用户身份验证和会话管理的安全缺陷,允许攻击者绕过认证机制,或通过账号来获取其他用户的权限。为了减少这种风险,开发者需要实现多因素认证、强制执行强密码策略...
owasp top10漏洞讲解
07-22
#### Top2:失效身份认证和会话管理 **介绍:** 与身份认证和会话管理相关的功能如果实现不当,则可能导致攻击者破解密码、密钥、会话令牌,或利用实施漏洞冒充其他用户的身份。 **危害:** 这些漏洞可能导致账户...
OWASP TOP 10(2017 RC2)
YT的博客
02-10 672
A1:注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如 SQL注入、OS注入和 LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 可利用性:几乎任何数据源都能成为注入载体,包括用户、参数、外部和内部Web服务。当攻击者向解析器发送恶意数据时,注入漏洞产生。 普遍性:注入漏洞十分普遍,尤其是遗留在代码中。通常能在 SQL查询...
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
01-11
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
安全漏洞——失效身份认证和会话管理(二)
weixin_41367084的博客
08-26 2511
一、失效身份认证和会话管理漏洞 1.定义 2.名词解释 3.造成缺陷原因 4.举例 5.防止攻击手段 一、失效身份认证和会话管理漏洞 1.定义:应用程序中与身份验证或者会话相关的功能未正确实现,导致攻击者可以破坏密码、密钥、会话令牌或者利用其他缺陷来假冒用户的身份,达到攻击的目的。 2.名词解释: Session 服务器端记录用户的信息,当用户完成身份认证后,存储所需要的用户资料。 - Cookie 服务器端发送,存储在客户端。在用户访问网站的时候建立(登陆),用于跟踪用户在网站中的活动,每次请求和客.
OWASP top10 2017 最新版
deng_menglihua的博客
01-15 5056
OWASP top10 2017 最新版 OWASP Top 10应用安全风险– 2017 A1:2017 注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、OS注入和LD AP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 A2:2017 失效身份认证和会话管理 通常,通过错误使用应用程序的身份认证和会话管理功能...
失效身份认证和会话管理
热门推荐
whoim_i的博客
11-20 1万+
目录身份认证和会话管理失效身份认证和会话管理原理危害案例如何判断如何防范1、区分公共区域和受限区域2、对最终用户帐户使用帐户锁定策略3、支持密码有效期4、能够禁用帐户5、不要存储用户密码6、要求使用强密码7、不要在网络上以纯文本形式发送密码8、保护身份验证 Cookie9、使用 SSL 保护会话身份验证 Cookie10、对身份验证 cookie 的内容进行加密11、限制会话寿命12、避免未经授...
失效身份认证和会话管理(二)
努力让自己更优秀的博客
09-17 3180
缺陷: 1,允许凭证填充,这使得攻击者获得有效用户名和密码的列表; 2,允许暴力破解或其他自动攻击; 3,允许默认的、弱的或众所周知的密码,例如“admin/admin“; 4,使用弱地或失效的验证凭证,忘记密码程序,例如“基于知识的答案“,这是不安全的; 5,使用明文、加密或弱散列密码,允许使用GPU破解或暴力破解工具开素恢复密码; 6,缺少或失效的多因素身份验证。 如何防止...
OWASP TOP102017)总结学习
weixin_45525324的博客
04-18 594
OWASP TOP102017)总结学习 一、背景 OWASP(Open Web Application Security Project)开源Web应用程序安全项目。 OWASP Top 10是OWASP组织基于超过 40家专门从事应用程序安全业务的公司提交的数据,以及500位以上个人完成的行业调查(这些数据包含了从数以百计的组织和超过10万个实际应用程序和API中收集的漏洞),根据这些流行数...
OWASP TOP 10 ( 2017 ) 的详细介绍
LizimU_0911的博客
12-02 1099
Top1-注入 1.注入的介绍 当用户把数据传输到服务后端,然后后端将数据放到解释器中进行翻译的时候,就有可能出现注入漏洞,比如SQL注入、NoSQL注入、OS注入和LDAP注入。解释器可能将用户发送的数据翻译为命令/数据库查询,如此一来用户就可以在没有权限的情况下去查看不属于用户本身的数据,翻译的指令甚至有可能提权控制服务器。 2.注入的类型 SQL注入: SQL注入就是指Web应用程序对用户输入的数据的合法性没有进行判断,前端传入后端的参数使攻击者可控的,并且参数中带有数据库查询,攻击者可以通过构造
OWASP TOP 10
qq_41679358的博客
10-14 2878
转自行云博客https://www.xy586.top/121765.html 文章目录OWASP Top 10A1 注入injectionA2 失效身份认证A3 敏感数据泄露A4 外部实体(XXE)A5 失效的访问控制A6 安全配置错误A7 跨站脚本(xss)A8 不安全的反序列化A9 使用含有已知漏洞的组件A10 不足的日志记录和监控 OWASP Top 10 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威.
OWASP TOP10 2010:Web安全关键风险解析
"OWASP TOP10 2010WEB安全(中文版) - 描述了2010年OWASP发布的Web应用程序安全的十大关键风险,包括风险的命名变化、评估方法以及新增和替换的风险类别。" OWASP TOP10 2010是一个重要的网络安全参考列表,由开放式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值