测试易受攻击的记住密码
ID |
---|
WSTG-ATHN-05 |
总结
凭据是使用最广泛的身份验证技术。由于用户名-密码对的使用如此广泛,用户不再能够在众多使用的应用程序中正确处理其凭据。
为了帮助用户使用他们的凭据,出现了多种技术:
- 应用程序提供“记住我”功能,允许用户长时间保持身份验证状态,而无需再次要求用户提供其凭据。
- 密码管理器 - 包括浏览器密码管理器 - 允许用户以安全的方式存储其凭据,并在没有任何用户干预的情况下将其注入用户表单中。
测试目标
- 验证生成的会话是否得到安全管理,并且不会将用户的凭据置于危险之中。
如何测试
由于这些方法提供了更好的用户体验,并允许用户忘记其凭据的所有信息,因此它们增加了攻击面。一些应用:
- 将凭据以编码方式存储在浏览器的存储机制中,这可以通过遵循 Web 存储测试 方案和会话分析 方案进行验证。凭据不应以任何方式存储在客户端应用程序中,而应替换为服务器端生成的令牌。
- 自动注入可能被滥用的用户凭据:
- ClickJacking attacks.
- CSRF attacks.
- 应该根据令牌生命周期来分析令牌,其中某些令牌永远不会过期,如果这些令牌被盗,用户将处于危险之中。请确保遵循会话超时 测试方案。