WEB安全之web应用认证基本概念

最新推荐文章于 2023-11-10 16:43:35 发布
最新推荐文章于 2023-11-10 16:43:35 发布
阅读量492 收藏
点赞数
分类专栏: 测试专业 文章标签: 安全 web认证

一、http常见认证机制
1、基本认证:
1)客户端访问一个受http基本认证保护的资源
2)服务端返回一个状态码401or403:没有授权or没有权限登录,要求客户端提供用户名和密码
3)客户端将输入的用户名和密码进行base64编码后,采用非加密的明文形式给服务单,如:Authorization: Basic xxxxxxxxxx
4)如果认证成功,服务端返回相应数据请求成功的code码以及资源数据,如果认证失败,则继续返回401or403code码,要求重新认证

特记事项:
1. Http是无状态的,同一个客户端对同一个realm内资源的每一个访问会被要求进行认证。
2. 客户端通常会缓存用户名和密码,并和authentication realm一起保存,所以,一般不需要你重新输入用户名和密码。
3. 以非加密的明文方式传输,虽然转换成了不易被人直接识别的字符串,但是无法防止用户名密码被恶意盗用。

2、 摘要认证步骤:
1. 客户端访问一个受http摘要认证保护的资源。
2. 服务器返回401状态以及nonce等信息,要求客户端进行认证。
HTTP/1.1 401 Unauthorized
WWW-Authenticate:Digest
realm="testrealm@host.com",
qop=“auth,auth-int”,
nonce=“dcd98b7102dd2f0e8b11d0f600bfb0c093”,
opaque=“5ccc069c403ebaf9f0171e9517f40e41”
3. 客户端将以用户名,密码,nonce值,HTTP方法, 和被请求的URI为校验值基础而加密(默认为MD5算法)的摘要信息返回给服务器。
认证必须的五个情报:
     ・ realm : 响应中包含信息
     ・ nonce : 响应中包含信息
     ・ username : 用户名
     ・ digest-uri : 请求的URI
     ・ response : 以上面四个信息加上密码信息,使用MD5算法得出的字符串。

Authorization:Digest
username=“Mufasa”, ← 客户端已知信息
realm="testrealm@host.com",   ← 服务器端质询响应信息
nonce=“dcd98b7102dd2f0e8b11d0f600bfb0c093”,  ← 服务器端质询响应信息
uri="/dir/index.html", ← 客户端已知信息
qop=auth,   ← 服务器端质询响应信息
nc=00000001, ← 客户端计算出的信息
cnonce=“0a4f113b”, ← 客户端计算出的客户端nonce
response=“6629fae49393a05397450978507c4ef1”, ← 最终的摘要信息 ha3
opaque=“5ccc069c403ebaf9f0171e9517f40e41”  ← 服务器端质询响应信息
4. 如果认证成功,则返回相应的资源。如果认证失败,则仍返回401状态,要求重新进行认证。

特记事项:
 1. 避免将密码作为明文在网络上传递,相对提高了HTTP认证的安全性。
 2. 当用户为某个realm首次设置密码时,服务器保存的是以用户名,realm,密码为基础计算出的哈希值(ha1),而非密码本身。
 3. 如果qop=auth-int,在计算ha2时,除了包括HTTP方法,URI路径外,还包括请求实体主体,从而防止PUT和POST请求表示被人篡改。
 4. 但是因为nonce本身可以被用来进行摘要认证,所以也无法确保认证后传递过来的数据的安全性。

※ nonce:随机字符串,每次返回401响应的时候都会返回一个不同的nonce。
※ nounce:随机字符串,每个请求都得到一个不同的nounce。
※ MD5(Message Digest algorithm 5,信息摘要算法)
① 用户名:realm:密码 ⇒ ha1
② HTTP方法:URI ⇒ ha2
③ ha1:nonce:nc:cnonce:qop:ha2 ⇒ ha3

◆ WSSE(WS-Security)认证  ← 扩展HTTP认证
WSSE UsernameToken
服务器端以nonce进行质询,客户端以用户名,密码,nonce,HTTP方法,请求的URI等信息为基础产生的response信息进行认证的方式。
※ 不包含密码的明文传递

WSSE认证步骤:
 1. 客户端访问一个受WSSE认证保护的资源。
 2. 服务器返回401状态,要求客户端进行认证。

HTTP/1.1 401 Unauthorized
WWW-Authenticate:WSSE
realm="testrealm@host.com",
profile=“UsernameToken” ← 服务器期望你用UsernameToken规则生成回应
※ UsernameToken规则:客户端生成一个nonce,然后根据该nonce,密码和当前日时来算出哈希值。
3. 客户端将生成一个nonce值,并以该nonce值,密码,当前日时为基础,算出哈希值返回给服务器。
Authorization:WSSE profile=“UsernameToken”
X-WSSE:UsernameToken
username=“Mufasa”,
PasswordDigest=“Z2Y…”,
Nonce=“dcd98b7102dd2f0e8b11d0f600bfb0c093”,
Created=“2010-01-01T09:00:00Z”
4. 如果认证成功,则返回相应的资源。如果认证失败,则仍返回401状态,要求重新进行认证。

水瓶紫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web与网络安全基础知识
Kali与编程
01-30 886
网络安全是指保护计算机网络、网络设备、网络应用程序和网络数据不受恶意攻击和非法访问的一系列措施。随着网络技术的发展和普及,网络安全已经成为全球关注的焦点之一。本文将会讨论网络安全的概述,介绍网络安全的威胁和攻击方式,并介绍如何保护网络安全。网络安全威胁网络安全威胁是指威胁计算机网络和网络设备、网络应用程序和网络数据安全的各种因素和事件。病毒和恶意软件:病毒和恶意软件是一种攻击者用来非法获取信息或破坏系统的程序。这些程序可以通过电子邮件、下载、文件共享和移动存储设备等途径传传播。
(2023版)零基础入门Web安全,收藏这一篇就够了
m0_74914256的博客
03-27 2925
Web安全是指保护Web应用程序Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上,Web安全成为越来越重要的问题。
Web认证方法探视(1)
andyhu1007的专栏
02-23 443
什么是Web认证   简而言之,web认证就是一个确认对方身份的过程。Web认证最典型的方式是通过用户名和密码。   Web认证有多种方式   A. Http协议内建的认证方法       1. Http Basic Authentication (Http基本认证)           HTTP基本认证是最简单也是曾经使用过很长时间的一种认证方式。基本认证要求为每一个保护域(re...
WEB安全认证
最新发布
weixin_43996530的博客
11-10 490
精心提炼的WEB安全认证万字长文,一文掌握所有认证模式
Web安全认证机制
java后端开发的博客,不仅仅是后端开发
07-13 2356
认证”是很容易理解的一种安全手段,常见的认证方式就是用户名和密码。那么“认证”和“授权”是一回事吗?
几种常用的Web安全认证方式
热门推荐
一只猿的自我修养
05-26 2万+
1. Http Basic Auth 这是一种最古老的安全认证方式,这种方式就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,所以现在也越来越少用了,现在都用更加安全保密的认证方式,可能某些老的平台还在用。 如下图所示,弹出一个框,让你填写用户名密码。这就是Tomcat自带的HTTPBasic认证。 当用户名密码输入错误后,会返回401 Una...
Web应用安全:体验Basic认证.pptx
06-18
**Web应用安全:体验Basic认证** Basic认证是HTTP协议一种基本的身份验证机制,它用于保护Web资源,确保只有授权的用户能够访问特定的网页或服务。这种认证方式的运作原理简单,但也存在一些明显的安全问题。 ##...
Web应用安全:无状态的HTTP认证.pptx
06-18
Web应用安全领域,HTTP认证是确保用户身份和数据安全的重要机制。无状态的HTTP认证意味着服务器不存储任何关于客户端会话的信息,每次请求都需要提供认证凭证。这种认证方式主要包含三种常见类型:Basic认证、...
白帽子讲web安全_WEB安全_
09-29
《白帽子讲Web安全》是一本深入探讨网络安全,特别是针对Web应用安全的专业书籍。在互联网高速发展的今天,数据安全和个人隐私的重要性不言而喻。Web安全不仅关乎企业信息安全,也直接影响到每一个网络用户的日常...
Web应用安全开发规范-V2.0.doc
08-03
Web应用安全开发规范-V2.0》是针对Web应用安全开发的重要指南,旨在提供一套系统性的安全开发标准,防止常见的网络安全威胁。本规范详细涵盖了背景介绍、技术框架、使用对象、适用范围以及用词约定等多个方面,并...
Web安全测试全解.zip
03-12
【标题】"Web安全测试全解.zip"是一个包含关于Web安全测试综合知识的压缩文件,主要探讨了在互联网环境如何确保Web应用程序安全性Web安全测试是预防和检测潜在漏洞,防止恶意攻击的重要环节。 【描述】"Web...
WEB安全_基础入门_基础概念
erfan_lang的博客
08-09 1015
目录域名1.什么是域名2.域名在哪里注册3.什么是二级域名多级域名4.域名发现对于安全测试的意义?DNS1.什么是DNS?2.本地HOSTS与DNS的关系?3.CDN是什么?与DNS的关系?4.当用户请求一个文件时,cdn的工作过程1.) 缓存投毒(DNS污染)2.) DNS劫持3.) 域名劫持4.) DNS DDOS攻击5.) 反射式DNS放大攻击脚本语言1.常见的脚本语言类型有哪些?2.不同脚本类型与安全漏洞的关系?后门1.什么是后门?有哪些后门?2.后门在安全测试的实际意义?3.关于后门需要了解哪些
Web安全基本概念
weixin_43994244的博客
03-04 7237
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
java webservice 安全_在安全标头使用nonce从java调用soap webservice
weixin_30005929的博客
03-07 337
我试图从java调用web服务.这基本上并不困难,除了webservice期望以用户名和密码以及nonce形式的某些安全性.当我尝试从SoapUi调用web服务时,我看到原始消息如下所示:xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">xmlns:wsse="http://docs.oasis-open.org/wss/20...
Http协议的身份认证
swadian2008的博客
02-13 1280
目录 一、Basic基础认证 二、Digest摘要认证 三、SSL Client认证 四、HTTP 表单认证 HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头添加如何进行...
一文读懂 Web 安全
u011192674的博客
07-28 863
Web 安全是互联网不可或缺的一个领域,这个领域诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场 Web 安全浪潮,真可谓神仙打架,各显神通。 本文从一个吃瓜群众的角度,聊一聊 Web 安全的一些有趣故事。 安全世界观 安全攻防案例 总结与思考 安全世界观 在互联网发展之初,IE 浏览器垄断的时期,大家上网的目的都很单纯,主要通过浏览器分享信息,获取新闻。但随着互联网的不断发展发展,一个网页能做的事情越来越多,除了看新闻,我们还可以看视
WEB常识 一 什么是认证(Authentication)
W_H_M_2018的博客
09-22 2354
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 ...
使用__webpack_nonce__设置CSP的方法
weixin_34416649的博客
03-06 1290
参考来源:https://stackoverflow.com/que... webpack配置,将index.js变为index.ejs模板 const HtmlWebpackPlugin = require('html-webpack-plugin') module.exports = { entry: 'index.js', ...
如何正确处理nonce
关于代码的那些事
09-14 8813
问题概述 以太坊系列(ETH&ETC)在发送交易有三个对应的RPC接口,分别是ethsendTransaction、ethsendRawTransaction和personal_sendTransaction。这三个接口发送(或构造发送内容时)都需要一个参数nonce。官方文档对此参数的解释是:整数类型,允许使用相同随机数覆盖自己发送的处于pending状态的交易。 官网解释 仅从官...
搜狐SDL与Web应用安全实践
文章内容包括信息安全基本概念安全风险的分层,特别是Web应用面临的风险,并详细列举了OWASP Top 10 Web应用安全风险。" 在Web安全领域,SDL是一种关键的实践方法,它强调在软件开发的整个生命周期融入安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值