web安全之保障验证机制的安全（一）

最新推荐文章于 2022-10-12 16:51:17 发布

weixin_33727510

最新推荐文章于 2022-10-12 16:51:17 发布

阅读量247

点赞数

文章标签： web安全

原文链接：https://my.oschina.net/jeeker/blog/611765

版权

为什么80%的码农都做不了架构师？>>>

使用可靠的证书

应强制执行适当的最小密码强度要求。这些要求包括：最小密码长度，使用字母、数字和排版字符，同时使用大、小写字符，避免使用字典中单词、名称和其他常见密码，避免以用户名为密码，避免使用和以前的密码相似或完全相同的密码。和大多数安全措施一样，不同的密码强度要求适用于不同类型的用户。
应使用唯一的用户名。
系统生成的任何用户名和密码应具备有足够的随机性，其中不包含任何顺序，即使攻击者访问大量连续生成的实例也无法对其进行预测。
允许用户设置足够强大的密码。例如，应允许其设置长密码，允许在密码中适用各种类型的字符。

安全处理证书

应以不会造成非授权泄露的方式创建、保存和传送所有证书。

应用使用公认的加密技术（如 SSL）保护客户端和服务端的所有通信。

如果认为最好在应用程序的不需验证的区域使用 HTTP，必须保证使用 HTTPS加载登录表单，而不是在提交登陆信息时才转换到 HTTPS。只能使用 POST 请求向服务端传输证书。

一般来说，客户端“记住我”功能应仅记忆如用户名之类的非保密数据。

应使用一种密码修改共军，要求用户定期修改其密码。

如果以非正常交互的形式向新建账户分配证书，应以尽可能安全的形式传送证书，并设置时间限制，要求用户在第一次登录时修改证书，并告诉影虎在初次使用后销毁通信渠道。

应考虑在适当的地方使用下拉菜单而非文本文字字段截取用户的一些登录信息。这样做可防止安装在用户计算机上的键盘记录器截获他们提交的所有数据。（但是，还请注意，简单的键盘记录器只是攻击者用于截获用户输入的一种手段）。如果攻击者已经攻破计算机，那么从理论上讲，他就能够记录计算机上发生的各种类型的事件，包括鼠标活动、通过 HTTPS 提交的表单以及截屏。

正确确认证书

应确认完整的密码。也就是说，区分大小写，不过滤或者修改任何字符，也不截短密码。

应用程序应在登录处理过程中主动防御无法预料的事件。例如，根据开发语言，应用程序对捕获异常之后可删除用于控制登录状态的所有会话和方法内部数据，并使当前会话完全失效。因此，即使攻击者以某种方式避开验证，也会被服务器强制退出。

应对验证逻辑的伪代码和实际的应用程序源代码进行仔细的代码审查，以确定故障开放条件之类的逻辑错误。

如果应用程序执行支持用户伪装功能，应严格控制这种功能，以防止攻击者滥用它获得为授权访问。鉴于这种功能的危险程度，通常有必要从面向公众的应用程序中彻底删除改功能，只对内部管理用户开放改功能，而且他们使用伪装也应接受严格控制与审核。

应对多阶段登录进行严格控制，以防止攻击者破坏登录阶段之间的转换与关系。

禁止用户多次提交一项登录信息；禁止用户修改已经被收集或者确认的数据。如果需要在几个阶段使用同一数据，应在第一次收集时将该数据保存在会话变量中，随后从此处引用该数据。
在每一个登录阶段，应首先核实前面的阶段均已顺利完成。如果发现前面的阶段没有完成，应立即将验证尝试标记为恶意尝试。
为防止泄露的是哪个登录验证阶段失败（攻击者可利用它轮流针对每个阶段发动攻击）的信息，即使用户无法正确完成前面的阶段，即使最初的用户名无效，应用程序也应总是处理完成所有的登录阶段。在处理完成所有的登录阶段后，应用程序应在最后阶段结束是呈现一条常规“登录失败”消息，并且不提供失败位置的任何信息。

如果在登录过程中需要回答一个随机变化的问题，请确保攻击者无法选择回答问题。