4.4 认证测试
文章平均质量分 70
4.4 认证测试
开启学习模式
书山有路勤为径,学海无涯苦作舟。学无止境
展开
-
4.4.11-Testing_Multi-Factor_Authentication
【代码】4.4.11-Testing_Multi-Factor_Authentication。原创 2023-10-18 09:29:28 · 28 阅读 · 0 评论 -
4.4.10-Testing_for_Weaker_Authentication_in_Alternative_Channel
【代码】4.4.10-Testing_for_Weaker_Authentication_in_Alternative_Channel。原创 2023-10-18 09:28:12 · 17 阅读 · 0 评论 -
4.4.9-测试弱密码更改或重置功能
对于任何要求用户使用密码进行身份验证的应用程序,必须有一种机制,用户在忘记密码时可以重新获得对其帐户的访问权限。虽然这有时可能是一个涉及联系网站所有者或支持团队的手动过程,但通常允许用户执行自助密码重置,并通过提供其他一些身份证明来重新获得对其帐户的访问权限。由于此功能提供了破坏用户帐户的直接途径,因此安全实施至关重要。原创 2023-10-18 09:26:20 · 40 阅读 · 0 评论 -
4.4.8-测试弱安全问题答案
安全问题和答案通常称为“秘密”问题和答案,通常用于恢复忘记的密码(请参阅测试弱密码更改或重置功能,或作为密码之上的额外安全性)。它们通常在创建帐户时生成,要求用户从一些预先生成的问题中进行选择并提供适当的答案。它们可能允许用户生成自己的问题和答案对。这两种方法都容易产生不安全感。理想情况下,安全问题应该生成只有用户知道的答案,而其他任何人都无法猜测或发现。这比听起来更难。安全问题和答案依赖于答案的保密性。应选择问题和答案,以便只有帐户持有人知道答案。原创 2023-10-18 09:25:43 · 47 阅读 · 0 评论 -
4.4.7-测试弱密码策略
最普遍和最容易管理的身份验证机制是静态密码。密码代表着王国的钥匙,但经常被用户以可用性的名义颠覆。在最近每一次泄露用户凭据的高调黑客攻击中,令人遗憾的是,最常见的密码仍然是:123456password和qwerty。原创 2023-10-18 09:25:12 · 33 阅读 · 0 评论 -
4.4.6-测试浏览器缓存弱点
在此阶段,测试人员会检查应用程序是否正确指示浏览器不保留敏感数据。浏览器可以存储用于缓存和历史记录的信息。缓存用于提高性能,因此以前显示的信息无需再次下载。为了方便用户,使用历史记录机制,以便用户可以准确地看到他们在检索资源时看到的内容。如果向用户显示敏感信息(例如他们的地址、信用卡详细信息、社会安全号码或用户名),则可以存储此信息以用于缓存或历史记录,因此可以通过检查浏览器的缓存或只需按浏览器的返回按钮即可检索。原创 2023-10-18 09:24:41 · 54 阅读 · 0 评论 -
4.4.5-测试易受攻击的记住密码
凭据是使用最广泛的身份验证技术。由于用户名-密码对的使用如此广泛,用户不再能够在众多使用的应用程序中正确处理其凭据。应用程序提供“记住我”功能,允许用户长时间保持身份验证状态,而无需再次要求用户提供其凭据。密码管理器 - 包括浏览器密码管理器 - 允许用户以安全的方式存储其凭据,并在没有任何用户干预的情况下将其注入用户表单中。原创 2023-10-18 09:24:05 · 19 阅读 · 0 评论 -
4.4.4-测试绕过身份验证架构
在计算机安全中,身份验证是尝试验证通信发送者的数字身份的过程。此类过程的一个常见示例是登录过程。测试身份验证架构意味着了解身份验证过程的工作原理,并使用该信息来规避身份验证机制。虽然大多数应用程序都需要身份验证才能访问私人信息或执行任务,但并非每种身份验证方法都能够提供足够的安全性。疏忽、无知或对安全威胁的简单轻描淡写通常会导致身份验证方案,只需跳过登录页面并直接调用应该仅在执行身份验证后才能访问的内部页面,从而绕过这些方案。原创 2023-10-18 09:23:29 · 49 阅读 · 0 评论 -
4.4.3-测试弱锁定机制
帐户锁定机制用于缓解暴力攻击。登录密码或用户名猜测攻击。对任何 2FA 功能或安全问题进行代码猜测。帐户锁定机制需要在保护帐户免受未经授权的访问和保护用户不被拒绝授权访问之间取得平衡。帐户通常在 3 到 5 次尝试失败后被锁定,并且只能在预定的时间段后通过自助解锁机制或管理员干预解锁。尽管进行暴力攻击很容易,但成功攻击的结果是危险的,因为攻击者将拥有对用户帐户的完全访问权限,以及他们可以访问的所有功能和服务。原创 2023-10-18 09:21:55 · 57 阅读 · 0 评论 -
4.4.2-测试默认凭据
许多 Web 应用程序和硬件设备都具有内置管理帐户的默认密码。尽管在某些情况下,这些可以随机生成,但它们通常是静态的,这意味着攻击者可以很容易地猜测或获取它们。此外,在应用程序上创建新用户时,这些用户可能设置了预定义的密码。这些可以由应用程序自动生成,也可以由工作人员手动创建。在这两种情况下,如果密码不是以安全的方式生成的,则攻击者可能会猜到密码。原创 2023-10-18 09:21:24 · 48 阅读 · 0 评论 -
4.4.1-Testing_for_Credentials_Transported_over_an_Encrypted_Channel
This content has been merged into: Testing for Sensitive Information Sent via Unencrypted Channels原创 2023-10-18 09:20:30 · 35 阅读 · 0 评论 -
4.4.1-测试通过加密通道传输的凭据
此内容已合并到:原创 2023-10-18 09:19:49 · 28 阅读 · 0 评论 -
4.4 认证测试
4.4.10 测试备用信道中的较弱身份验证。4.4.1 测试通过加密通道传输的凭据。4.4.9 测试弱密码更改或重置功能。4.4.5 测试易受攻击的记住密码。4.4.4 测试绕过身份验证架构。4.4.6 测试浏览器缓存弱点。4.4.11 测试多重身份验证。4.4.3 弱锁定机制测试。4.4.7 弱密码策略测试。4.4.8 弱安全问答测试。4.4.2 测试默认凭据。原创 2023-09-13 21:32:37 · 42 阅读 · 0 评论