OWASP TOP10系列之#TOP2# A2-损坏的身份认证
提示:本系列将介绍OWASP TOP10 安全漏洞相关介绍,主要针对漏洞类型、攻击原理以及如何防御进行简单讲解;如有错误,还请大佬指出,定会及时改正~
文章目录
前言
损坏的身份认证,即Broken Authentication
一、损坏的身份认证漏洞是什么?
由于身份认证和访问控制的设计和实施,破坏的身份验证的现象很普遍。会话管理是身份验证和访问控制的基石,几乎存在于所有应用程序中,会话管理攻击很容易理解,特别是与未过期的会话令牌相关的攻击。
攻击者可以使用手动方式检测损坏的身份验证,并使用带有密码列表和字典攻击的自动化工具来利用它们。比如攻击者可以使用数亿个有效的用户名和密码组合,用于凭据填充、默认管理帐户列表以及自动暴力破解等攻击工具入侵应用系统,获取机密数据。
二、什么情况下会发生损坏的身份认证漏洞
- 允许自动攻击,例如凭据填充,攻击者拥有有效用户名和密码列表,没有其他认证方式;
- 允许蛮力或其他自动攻击,例如攻击者可以无限登录;
- 允许使用默认密码、弱密码或众所周知的密码,例如“Password1”或