【笔记】失效的身份认证
描述:
通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。
可能产生的攻击点:
- 允许密码填充,攻击者有可能获得完整的用户名密码列表
- 允许暴力破解(枚举法,就是一直猜直到猜对)或【其他自动攻击】
- 默认的管理员用户名和密码太过简单
- 比较简单的忘记密码程序或者验证密码凭证
- 使用明文、【加密】、【弱散列】密码
- 缺少多因素身份验证或多因素身份验证失效
- URL暴露会话ID
- 登录成功后不更新会话ID
防范
- 少用默认配置。特别是管理员用户,默认配置会带来很多敏感信息的泄露;
- 多因素身份验证,比如追加手机号验证等,这样可以防止自动填充带来的登录;
- 定期执行弱密码检查。
- 使用更加复杂的密码策略
- 限制多次登录失败的会话,登录失败后使用统一的回复
- 登录成功后随机生成新ID,且不能显示在URL中,绝对超时后失效。