4.4.5-测试易受攻击的记住密码

已于 2023-11-16 17:16:12 修改
阅读量22 收藏
点赞数
分类专栏: 4.4 认证测试 文章标签: web安全
于 2023-10-18 09:24:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44232452/article/details/133898641
版权

测试易受攻击的记住密码

ID
WSTG-ATHN-05

总结

凭据是使用最广泛的身份验证技术。由于用户名-密码对的使用如此广泛,用户不再能够在众多使用的应用程序中正确处理其凭据。

为了帮助用户使用他们的凭据,出现了多种技术:

  • 应用程序提供“记住我”功能,允许用户长时间保持身份验证状态,而无需再次要求用户提供其凭据。
  • 密码管理器 - 包括浏览器密码管理器 - 允许用户以安全的方式存储其凭据,并在没有任何用户干预的情况下将其注入用户表单中。

测试目标

  • 验证生成的会话是否得到安全管理,并且不会将用户的凭据置于危险之中。

如何测试

由于这些方法提供了更好的用户体验,并允许用户忘记其凭据的所有信息,因此它们增加了攻击面。一些应用:

  • 将凭据以编码方式存储在浏览器的存储机制中,这可以通过遵循 Web 存储测试 方案和会话分析 方案进行验证。凭据不应以任何方式存储在客户端应用程序中,而应替换为服务器端生成的令牌。
  • 自动注入可能被滥用的用户凭据:
  • 应该根据令牌生命周期来分析令牌,其中某些令牌永远不会过期,如果这些令牌被盗,用户将处于危险之中。请确保遵循会话超时 测试方案。

修复

  • 遵循会话管理良好做法。
  • 确保没有凭据以明文形式存储,也没有在浏览器存储机制中以编码或加密形式轻松检索的凭据;它们应存储在服务器端,并遵循良好的密码存储 实践。
开启学习模式
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
httpcore-4.4.5-API文档-中文版.zip
03-29
赠送原API文档:httpcore-4.4.5-javadoc.jar 赠送源代码:httpcore-4.4.5-sources.jar 包含翻译后的API文档:httpcore-4.4.5-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.apache....
OWASP Web 安全测试指南-Web 应用程序安全测试
seanyang_的博客
12-04 312
本节介绍 OWASP Web 应用程序安全测试方法,并说明如何测试应用程序中由于已识别的安全控制缺陷而导致的漏洞证据。
Notes Fifteenth Day-渗透攻击-红队-内部信息搜集
热门推荐
qq_34801745的博客
10-01 1万+
** Notes Fifteenth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-10-1 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
4.4 认证测试
qq_44232452的博客
09-13 43
4.4.10 测试备用信道中的较弱身份验证。4.4.1 测试通过加密通道传输的凭据。4.4.9 测试密码更改或重置功能。4.4.5 测试易受攻击记住密码。4.4.4 测试绕过身份验证架构。4.4.6 测试浏览器缓存弱点。4.4.11 测试多重身份验证。4.4.3 弱锁定机制测试。4.4.7 弱密码策略测试。4.4.8 弱安全问答测试。4.4.2 测试默认凭据。
从智能锁谈STM32安全技术
m0_61687959的博客
06-21 2436
1.1.1 什么是安全安全分为2类:功能安全 Functional Safety信息安全 Information Security本教程讲的安全都指信息安全!!!1.1.2 信息安全三要素信息安全有3个基本属性(基本服务):保密性(C):该你知道,你可以知道;不该你知道的,就不让你知道完整性(I):真实可靠,信息没有被修改,没有被假冒可用性(A):总是可以访问这个信息,该用时也可以用1.2.1 什么是智能锁智能锁不用于传统的机械锁具,带有芯片进行控制1.2.2 资产、弱点、威胁模型分析设备所需要采用的安全技
Linux内核配置选项简介
whatday的专栏
03-12 1万+
目录 General setup常规设置 Enable loadable module support可加载模块支持 Enable the block layer块设备支持 Processor type and features中央处理器(CPU)类型及特性 Power management and ACPI options电源管理和ACPI选项 Bus options (PCI et...
音乐播放器
weixin_30505043的博客
01-09 1255
5.1 微博 (ok) 好友列表(no ) 好友对话(ok),团购(ok) 再敲一遍 5.3: 汤姆猫,传智猜图的逻辑,缩放(ok),轮播(待研究),英雄列表,汽车展示重新敲 5.4: 把以前做的思路理一理; 5.5: 预习一下; ios校招: 主要是c,c++ (很少有问ios的,项目问的很简单,只有网易问的是iOS的) 智力题:1-100之间的怎么...
【好东西一定要转】关于Solaris安全配置的转贴和讨论
shenghuiping2001的专栏
11-15 7120
转1 Sun系统的基本安全配置V1.0(by GaoXiao) 1)防止堆栈溢出(*) 2)关闭不用的服务,关闭一些无用的端口(*) 3)给系统打补丁(*) 4)消除系统中的弱智用户,定期修改用户口令,提高口令强度。 5)检查系统中SUID、SGID文件 find / \( -perm -004000 -o -perm -002000 \) -type f –print 检查系统上部
Java核心技术 卷Ⅰ 基础知识(原书第10版)
weixin_34082695的博客
05-02 3414
Java核心技术系列 Java核心技术 卷Ⅰ 基础知识 (原书第10版) Core Java Volume I—Fundamentals (10th Edition) [美] 凯S.霍斯特曼(Cay S. Horstmann) 著 周立新 陈 波 叶乃文 邝劲筠 杜永萍 译 图书在版编目(CIP)数据 Java核心技术 卷Ⅰ 基础知识(原书第...
互联网大厂知识点整理
HUGO-42078367的博客
08-06 1695
互联网大厂知识点总结
httpcore-4.4.5-API文档-中英对照版.zip
05-04
赠送原API文档:httpcore-4.4.5-javadoc.jar; 赠送源代码:httpcore-4.4.5-sources.jar; 赠送Maven依赖信息文件:httpcore-4.4.5.pom; 包含翻译后的API文档:httpcore-4.4.5-javadoc-API文档-中文(简体)-英语-...
neo4j-4.4.5-wubdiws社区版
04-25
neo4j-4.4.5-wubdiws社区版 里面包含一些自己研究时写的东西,一键导入csv数据,自己的配置文件和操作数据集 自己做的整合文章:https://blog.csdn.net/qq_35449424/article/details/130056786
node-v4.4.5-x86.msi
最新发布
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 ...
httpcore-nio-4.4.5-API文档-中文版.zip
05-02
赠送原API文档:httpcore-nio-4.4.5-javadoc.jar; 赠送源代码:httpcore-nio-4.4.5-sources.jar; 赠送Maven依赖信息文件:httpcore-nio-4.4.5.pom; 包含翻译后的API文档:httpcore-nio-4.4.5-javadoc-API文档-...
2024高校网络安全管理运维赛wp
toto的博客
05-07 2692
给了login的patch,没一点过滤,考虑普通用户登陆之后新建一个ADMIN,然后直接利用$toLower去覆盖admin的mongo集合。后面没有什么地方有有用信息了,根据题目钓鱼邮件,可能第三段flag就跟DMARC、DKIM 和 SPF有关了。可以先用fqlite看一遍,大概就可以看出flag是根据sort排的,(当然这一步没有问题也不是很大)解析一下主域名,得到提示有三段flag,估计就对应DMARC、DKIM 和 SPF三种方法了。定位到数据部分之后,一眼看到flag数据,接着就是顺序问题了。
「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
网络安全
05-03 1135
CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。
「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
网络安全
05-04 729
ICASI在推进多供应商协调漏洞披露方面处于领先地位,引入了通用漏洞报告框架(Common Vulnerability Reporting Format,CVRF)标准,制定了统一安全事件响应计划(USIRP)的原则,帮助创建了多方漏洞协调和披露指南和实践,并建立了一个成功协调多供应商应对众多安全事件的行业领导者信托小组。为了继续取得这些成功,并确保全球社会更广泛的参与,ICASI(Industry Consortium for Advancement of Security on the Internet
网络安全(黑客)—-2024自学手册
xv7676的博客
05-06 1674
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
neo4j4.4.5安装
09-06
tar -zxvf neo4j-community-4.4.5-unix.tar.gz ``` 3. 进入解压缩后的文件夹: ``` cd neo4j-community-4.4.5 ``` 4. 如果你需要配置远程访问,你可以使用以下命令来编辑 Neo4j 的配置文件: ``` vim conf/neo4j....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值