登录认证功能
登录认证功能不是指一个简单的登录过程,而是整个操作过程中的认证,目前的认证方式大多是基于Cookie和Session,不少程序会把当前登录的用户账号等认证信息放到Cookie中,或许是加密方式,是为了保持用户可以长时间登录,不会因为一退出浏览器或者Session超时就退出账户,进行操作的时候直接从Cookie中读取出当前用户信息,这里就存在一个算法可信的问题,如果这段Cookie信息没有加salt一类的东西,就可以导致任意用户登录漏洞,只要知道用户的部分信息,即可生成认证令牌,甚至有的程序会直接把用户明文放到Cookie中,操作的时候直接取这个用户名的数据,这也是常说的越权漏洞。
用户认证审计
- 检查代码进行用户认证的位置,是否能够绕过认证,例如:登录代码可能存在表单注入
- 检查登录代码有无使用验证码等,防止暴力破解的手段
- 检查Session的时效性,能否因为一个session的长久有效不销毁,而导致验证码、密码、用户名破解成为可能。
函数或文件的未认证调用
- 一些管理页面是禁止普通用户访问的,有时开发者会忘记对这些文件进行权限验证,导致漏洞发生
- 某些页面使用参数调用功能,没有经过权限验证,比如 index.php?action=upload
密码问题
- 有的程序会把 数据库连接 账户 和 密码 直接写到数据库连接函数中。
身份认证漏洞
认证的目的是为了认出用户是谁,而授权的目的是为了决定用户能够做什么,身份认证实际上就是一个验证凭证的过程。
Web身份认证通常使用Cookie、Session、Openid、OAuth、SSO、REST等进行认证,而其中最常使用的是Cookie和Session。 cookie和session都能够进行会话跟踪,它们的区别在于:
- Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中;
- Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。
cookie身份认证漏洞
这种漏洞原理相当简单,因为cookie能够存储用户信息,某些网站的权限验证机制是直接读取cookie中的字段来判断权限,所以我们能够 直接通过修改cookie中的值 来绕过验证。
实例:
verification
<?php
session_start();
if(isset($_COOKIE['username']))
{
$username = $_COOKIE['username'];
if($username == root)
echo "<td width='150'><div align='middle'> 欢迎您登录系统".$_SESSION['username']."管理员!</div></td>";
if($username == shiyanlou)
echo "<td width='150'><div align='middle'> 欢迎普通用户 ".$_SESSION['username']."!</div></td>";
}
echo "<td width='150'><div align='middle'> <a href='logout.php'> 注销</a></div></td>";
?>
从上述代码中看到,该页面直接读取cookie中的username字段进行的权限判断,这种方式非常不安全。
打开浏览器,输入URL:http://192.168.161.133/verification/login.html
管理员登录 账号:root 密码:root;普通用户登录 账号:qingqing 密码:qingqing
普通用户:
下载firebug,打开F12 使用Firebug 抓包:
右键选择编辑,修改qingqing为root,并确定:
接下来我们按F5刷新页面看看:
可以看到,我们此时已经是管理员权限了。
seesionid 固定漏洞
seesionid 固定攻击的核心要点就是让合法用户使用 攻击者预先设定 的session ID来访问被攻击的应用程序,一旦用户的会话ID被成功固定,攻击者就可以通过此session ID来冒充用户访问应用程序。简单来讲,攻击者要想办法,让某个用户通过他预先选择的session标识符来访问系统,一旦系统接收到了这个用户的请求,并且使用用户传递过来的session标识创建了会话,攻击者就可以使用这个session标识了。
代码如下:
<?php
session_start();
if (!isset($_SESSION['count']))
{
$_SESSION['count'] = 0;
}
else
{
$_SESSION['count']++;
}
echo $_SESSION['count'];
?>
该页面在第一次访问的时候,这段代码会输出0,刷新页面,将输出1。不断刷新的话,输出的数值会不断增大并依次加一,这意味着每一次请求的值得到了保留,客户端和服务端之间的状态得到了保持。
我们在url中包括预先设定的session标识符id,当户用再通过该url访问网页时,服务器就会根据传递过来的session标识id创建会话,比如:
<a href="http://localhost/verification/session/session.php?PHPSESSID=1234">
click me!
</a>
并且之后即便更换一台电脑或者浏览器访问通过此链接访问此页面,也会继续使用一开始创建的seesion id继续进行会话。 比如:
刷新页面,输出数字会不断增大:
为了模拟攻击者从另一台电脑访问该页面,使用另外一个浏览器访问该链接:
可以看到攻击者初次访问的输出值不是0,而是在firefox上面浏览器中最后输出值基础上增加了1。这说明你已经侵入了前一次创建的session,虽然你在同一台电脑上,但是这两个不同的浏览器就可以代表两个不同的用户,后者成功冒充成了前者。
漏洞防范
cookie身份认证漏洞防范
单纯的cookie容易被修改,所以我们添加session变量对cookie进行验证,添加的代码如下: login.php:
if(isset($_COOKIE['username']))
{
$_SESSION['veri'] = $_COOKIE['username'];
header("location: main.php"); // header() 函数向客户端发送原始的 HTTP 报头
}
这样,在cookie创建时,就同时用session再保存一份cookie的值,并且将session文件存放在服务端,不易被修改。
main.php:
if($_COOKIE['username']==$_SESSION['username'])
{
if($_COOKIE['username'] == root)
echo "<td width='150'><div align='middle'> 欢迎您登录系统".$_COOKIE['username']."管理员!</div></td>";
if($_COOKIE['username'] == shiyanlou)
echo "<td width='150'><div align='middle'> 欢迎普通用户".$_COOKIE['username']."!</div></td>";
}
else{
echo "<td width='150'><div align='middle'> 登录失败!请尝试重新登录!</div></td>";
}
在调用cookie中的值之前,会先使用session对其中的值进行判断,确保未被恶意修改。 在firefox中输入url:localhost/codeaudit/verification/modify/login.html,仍然使用shiyanlou账号进行登录:
同样像之前一样,抓包修改cookie并发送,可以看到并没伪冒用户成功:
session固定漏洞防御
常见的防御方案有如下几种:
1、更改Session名称。PHP中Session的默认名称是PHPSESSID,此变量会保存在Cookie中,如果攻击者不分析站点,就不能猜到Session名称,阻挡部分攻击。
2、关闭透明化Session ID。透明化Session ID指当浏览器中的Http请求没有使用Cookie来存放Session ID时,Session ID则使用URL来传递。
3、设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端js脚本访问这个Cookie。
4、每当用户登陆的时候就进行重置sessionID
5、sessionID闲置过久时,进行重置sessionID
参考:
https://blog.csdn.net/Fly_hps/article/details/79845293
https://blog.csdn.net/God_XiangYu/article/details/97989390