OWASP TOP10-A2：失效的身份认证

最新推荐文章于 2024-01-12 14:25:05 发布

GCnYIN

最新推荐文章于 2024-01-12 14:25:05 发布

阅读量1.1k

点赞数

分类专栏：笔记文章标签：安全漏洞

本文链接：https://blog.csdn.net/qq_45405626/article/details/114659435

版权

笔记专栏收录该内容

6 篇文章 0 订阅

订阅专栏

【笔记】失效的身份认证

描述：

通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

可能产生的攻击点：

允许密码填充，攻击者有可能获得完整的用户名密码列表
允许暴力破解（枚举法，就是一直猜直到猜对）或【其他自动攻击】
默认的管理员用户名和密码太过简单
比较简单的忘记密码程序或者验证密码凭证
使用明文、【加密】、【弱散列】密码
缺少多因素身份验证或多因素身份验证失效
URL暴露会话ID
登录成功后不更新会话ID

防范

少用默认配置。特别是管理员用户，默认配置会带来很多敏感信息的泄露；
多因素身份验证，比如追加手机号验证等，这样可以防止自动填充带来的登录；
定期执行弱密码检查。
使用更加复杂的密码策略
限制多次登录失败的会话，登录失败后使用统一的回复
登录成功后随机生成新ID，且不能显示在URL中，绝对超时后失效。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

GCnYIN

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

安全漏洞问题7：失效的身份认证和会话管理

weixin_34402408的博客

11-21

2324

安全漏洞问题7：失效的身份认证和会话管理1.1. 漏洞描述应用程序的功能一般包含权限管理和会话管理，但是由于应用程序设计不当，让攻击者可以窃取到密码、密钥、session tokens等信息，进而冒充合法用户身份，获取敏感信息或者进行恶意操作。1.2. 漏洞危害利用不安全的权限管理和会话管理设计，恶意用户可能会窃取或操纵用户会话和 cookie，进而模仿...

OWASP TOP10（2017）之【失效的身份认证】

qq_41042211的博客

07-07

1001

官方解释 OWASP Top 10 2017 如果应用程序存在如下问题，那么可能存在身份验证的脆弱性：允许凭证填充，这使得攻击者获得有效用户名和密码的列表。允许暴力破解或其他自动攻击。允许默认的、弱的或众所周知的密码，例如“Password1”或“admin/admin”。使用弱的或失效的验证凭证，忘记密码程序，例如“基于知识的答案”，这是不安全的。使用明文、加密或弱散列密码（参见：A3:2017-敏感数据泄露）。缺少或失效的多因素身份验证。暴露URL中的会话ID（例如URL重写）。在成功

参与评论您还未登录，请先登录后发表或查看评论

OWASP top 10 （2017）学习笔记--失效的身份验证

01-09

321

A2:2017 - 失效的身份验证漏洞描述：通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。漏洞影响：攻击者只需要访问几个帐户，或者只需要一个管理员帐户就可以破坏我们的系统。根据应用程序领域的不同，可能会导致放任洗钱、社会安全欺诈以及用户身份盗窃、泄露法律高度保护的敏感信息。检测...

owasp top10之失效的身份认证和会话管理笔记

xingxingdoukeyi的博客

10-21

701

身份认证 最常用的地方就是各种登录，现在很多应用使用了手机验证码认证的方式，以及联动QQ，微信，邮箱等登录方式，个人感觉比输入账号密码时SQL注入变少了很多，不过花里胡哨的逻辑漏洞变多了会话管理因为http本身是无状态协议，所以需要一些验证机制，会话管理一般为登录状态成功后，由服务器为客户端分配的令牌，要求是唯一并且不可预测，通常为客户端cookie，服务器端session，token两边都有 ...

二、失效的身份认证漏洞

weixin_46849264的博客

03-01

712

失效的身份认证漏洞

A2 失效的身份认证和会话管理

发哥微课堂

04-14

1478

0x00：身份认证介绍我们先来介绍失效的身份认证，对于身份认证大家已经再熟悉不过了，其用来控制一些文件、数据、网页等访问的控制，例如最常见的账号和密码，各种登录功能等。除了账号和密码外，常见的还有一个是客户端证书，例如银行登录需要 U 盾或者一些证书插到物理机等。再一个生物识别，例如指纹和虹膜等。再一个基于设备的一次性密码，例如设备每分钟都会更改其访问密码，常见的例如银行字符 U 盾的随机 6...

OWASP TOP10系列之#TOP2# A2-损坏的身份认证

weixin_43125873的博客

08-07

353

系列文章目录提示：本系列将介绍OWASP TOP10 安全漏洞相关介绍，主要针对漏洞类型、攻击原理以及如何防御进行简单讲解；如有错误，还请大佬指出，定会及时改正~ 文章目录系列文章目录前言一、损坏的身份认证漏洞是什么？二、什么情况下会发生损坏的身份认证漏洞三、如何预防？四、身份验证的保证级别 1：密码级别 2：多因素身份验证级别 3：基于密码的身份验证会话管理会话生成和到期总结前言损坏的身份认证，即Broken Authentication 一、损坏的身份认证漏洞是什么？由于身份认证和访问

OWASP top10（OWASP十大应用安全风险）之A2 认证失败（Broken Authentication）

qq_39682037的博客

03-17

3443

top2 认证失败（Broken Authentication）损坏的身份验证漏洞可能使攻击者能够使用手动和/或自动方法来尝试控制他们在系统中想要的任何帐户，甚至更糟的是，获得对系统的完全控制。具有损坏的身份验证漏洞的网站在网络上非常常见。身份验证失败通常是指在应用程序身份验证机制上发生的逻辑问题，例如不良会话管理容易导致用户名枚举-恶意行为者使用蛮力技术猜测或确认系统中的有效用户时。为了最...

owasp top10 2017 最新版

01-23

A2: 失效的身份验证（Broken Authentication）涉及用户身份验证和会话管理的安全缺陷，允许攻击者绕过认证机制，或通过账号来获取其他用户的权限。为了减少这种风险，开发者需要实现多因素认证、强制执行强密码策略...

OWASP Top10 2017版发布中英文对照最新版.rar

08-01

2. A2: Broken Authentication and Session Management（认证与会话管理缺陷）：涉及用户身份验证和会话管理过程中的漏洞，可能导致账户被盗用或者未经授权的访问。 3. A3: Cross-Site Scripting (XSS)（跨站脚本...

阐述OWASP TOP10的演变过程

qq_53255576的博客

03-16

207

目前越来越多的网上业务都依赖Web系统，因此很多恶意攻击者会对Web服务器进行攻击，Web业务平台成为了黑客攻击的重点目标，为了防止黑客的攻击，除了对Web服务器做相应的加固配置外，Web应用程序的设计和开发也需要杜绝黑客攻击隐患。A06：2021—自带缺陷和过时的组件。A10：2017—不足的日志记录和监控。A09：2021—安全日志和监控故障。A08：2017—不安全的反序列化。A01：2021—失效的访问控制。A02：2017—失效的身份认证。A05：2017—失效的访问控制。

失效的身份认证和会话管理

最新发布

大河之犬的博客

01-12

1155

失效的身份认证是指错误地使用应用程序的身份认证和会话管理功能，使攻击者能够破译密码、密钥或会话令牌，或者利用其他开发漏洞暂时或长久地冒充其他用户的身份，导致攻击者可以执行受害者用户的任何操作。失效的身份认证其实是指令牌等设计不合理，为攻击者提供了可乘之机。用户身份认证和会话管理是一个应用程序中最关键的过程，有缺陷的设计会严重破坏这个过程。在开发 Web 应用程序时，开发人员往往只关注 Web 应用程序所需的功能。

安全漏洞——失效身份认证和会话管理（二）

weixin_41367084的博客

08-26

2469

一、失效身份认证和会话管理漏洞 1.定义 2.名词解释 3.造成缺陷原因 4.举例 5.防止攻击手段一、失效身份认证和会话管理漏洞 1.定义：应用程序中与身份验证或者会话相关的功能未正确实现，导致攻击者可以破坏密码、密钥、会话令牌或者利用其他缺陷来假冒用户的身份，达到攻击的目的。 2.名词解释： Session 服务器端记录用户的信息，当用户完成身份认证后，存储所需要的用户资料。 - Cookie 服务器端发送，存储在客户端。在用户访问网站的时候建立（登陆），用于跟踪用户在网站中的活动，每次请求和客.

《OWASP Top 10--失效的身份认证和会话管理》

ccAbner的博客

05-07

5475

说明：本文章仅限于对失效身份认证和会话管理的学习和了解1、定义身份认证：身份认证最常用于系统登录，形式一般为用户名和密码登录方式，在安全性要求较高的情况下，还有验证码、客户端证书、Ukey等会话管理：HTTP利用会话机制来实现身份认证，HTTP身份认证的结果往往是获得一个令牌并放在cookie中，之后的身份识别只需读授权令牌，而无需再次进行登录认证2、原理开发者通常会建立自定义的认证和会话管理...

OWASP列举的Web应用程序十大安全漏洞 - 失效的身份认证和会话管理

qq_31142237的博客

02-11

3747

OWASP列举的Web应用程序十大安全漏洞 - 失效的身份认证和会话管理

身份认证失效漏洞实战

weixin_44522540的博客

04-01

1029

文章目录背景0x1 测试用户0x2 越权访问总结背景钻石代理商马春生同学卷款逃跑，多位下级代理内心受到了难以磨灭的伤害，为了找到她我们将通过代理网站获取到她的手机号码等信息。 0x1 测试用户先登陆测试用户（test/test）: 成功登陆，发现会员号 0x2 越权访问查看网页源代码： getProfile({"card_id":"20128880322","user":"test","password":"098f6bcd4621d373cade4e832627b4f6", 发现card

身份认证失效漏洞实战Writeup

k0sec的安全路

03-02

1283

0X00访问网站 0X01登录账号：test 密码：test 0X03 右键查看页面源码 0X04 点击该链接，可以看到有用的信息 0X05 构造网址，将马春生的id20128880316放到card_id=后面，回车 0X06 MD5解密71cc568f1ed55738788751222fb6d8d9得到9732343 使用账号：m233241 密码：9732343登录 ...