owasp top10之失效的身份认证和会话管理 笔记

最新推荐文章于 2024-05-11 15:20:32 发布
最新推荐文章于 2024-05-11 15:20:32 发布
阅读量686 收藏 2
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingxingdoukeyi/article/details/109181245
版权

身份认证

最常用的地方就是各种登录,现在很多应用使用了手机验证码认证的方式,以及联动QQ,微信,邮箱等登录方式,个人感觉比输入账号密码时SQL注入变少了很多,不过花里胡哨的逻辑漏洞变多了

会话管理

因为http本身是无状态协议,所以需要一些验证机制,会话管理一般为登录状态成功后,由服务器为客户端分配的令牌,要求是唯一并且不可预测,通常为客户端cookie,服务器端session,token两边都有

Session

Session负责在服务器端记录用户信息,在一个用户完成身份认证之后,存储所需要的用户资料,用于持久保存网站的活动。服务器使用唯一的会话令牌产生对应的会话ID

Cookie

Cookie由服务器发送并存储在客户端,在用户访问网站的时候创建,用以跟踪用户在网站中的活动,每次请求客户端都需要把它发送给服务器。当用户意外中断后,由于Cookie的存在就可以从中断的地方继续。

Cookie的SameStie属性用来限制第三方Cookie,从而减少安全风险(防止CSRF攻击)和用户追踪

Token

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

这些令牌的功能大多都为再次登录时无需进行登录认证,只需读取授权令牌,增强用户体验,减少服务器压力等。

那么失效的身份认证字面意思就是指令牌等设计不合理,给了破坏者可利用的地方
可能出现的方式有很多
弱口令,掌握了口令加密,组合方式造成的口令破解,cookie被各种方式窃取,中间人攻击等,越权,只要url中出现明文id为敏感信息都是。

这是漏洞都出现在应用层

香煎的小鹿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWASP TOP10-A2:失效身份认证
qq_45405626的博客
03-11 1053
OWASP TOP10第二类漏洞:失效身份认证简单易懂的介绍
OWASP top 10 (2017) 学习笔记--失效身份验证
01-09 312
A2:2017 - 失效身份验证 漏洞描述: 通过错误使用应用程序的身份认证会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 漏洞影响: 攻击者只需要访问几个帐户,或者只需要一个管理员帐户就可以破坏我们的系统。根据应用程序领域的不同,可能会导致放任洗钱、社会安全欺诈以及用户身份盗窃、泄露法律高度保护的敏感信息。 检测...
OWASP Top 10--失效身份认证会话管理
ccAbner的博客
05-07 5450
说明:本文章仅限于对失效身份认证会话管理的学习和了解1、定义身份认证身份认证最常用于系统登录,形式一般为用户名和密码登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等会话管理:HTTP利用会话机制来实现身份认证,HTTP身份认证的结果往往是获得一个令牌并放在cookie中,之后的身份识别只需读授权令牌,而无需再次进行登录认证2、原理  开发者通常会建立自定义的认证和会话管理...
身份认证失效漏洞实战Writeup
k0sec的安全路
03-02 1265
0X00访问网站 0X01登录 账号:test 密码:test 0X03 右键查看页面源码 0X04 点击该链接,可以看到有用的信息 0X05 构造网址,将马春生的id20128880316放到card_id=后面, 回车 0X06 MD5解密71cc568f1ed55738788751222fb6d8d9得到9732343 使用账号:m233241 密码:9732343登录 ...
【webGoat】Broken Authentication
10-02 1308
【中断的身份验证
Owasp Top10 漏洞笔记
08-27
Owasp Top10 漏洞笔记 安全漏洞是 Web 应用程序中的一个常见问题,OWASP Top 10 是一个列表,列出了 Web 应用程序中十大最常见的安全漏洞,其中包括 SQL 注入漏洞、跨站脚本攻击、跨站请求伪造、敏感数据 exposures...
owasp top10漏洞讲解
07-22
#### Top2:失效身份认证会话管理 **介绍:** 与身份认证会话管理相关的功能如果实现不当,则可能导致攻击者破解密码、密钥、会话令牌,或利用实施漏洞冒充其他用户的身份。 **危害:** 这些漏洞可能导致账户...
owasp top10原理利用与防御.docx.zip_owasp top10_owasp原理_wasp top 10_wasp
09-24
3. A3: 无效的身份认证会话管理(Broken Authentication and Session Management) 如果认证和会话管理机制设计不当,攻击者可能冒充合法用户。应使用复杂、难猜的密码策略,实现安全的会话ID管理,并及时注销无...
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
该报告涵盖了 Web 应用程序安全的十个最常见的风险,包括失效的访问控制、加密机制失效、注入、不安全设计、安全配置错误、自带缺陷和过时的组件、身份识别和身份验证错误、软件和数据完整性故障、安全日志和监控...
OWASP-TOP10-2021中文版V1.0
01-28
7. 身份识别和身份验证错误(Identification and Authentication Failures) 8. 软件和数据完整性故障(Software and Data Integrity Failures) 9. 安全日志和监控故障(Security Logging and Monitoring Failures...
OWASP TOP10(2017)之【失效身份认证
qq_41042211的博客
07-07 967
官方解释 OWASP Top 10 2017 如果应用程序存在如下问题,那么可能存在身份验证的脆弱性: 允许凭证填充,这使得攻击者获得有效用户名和密码的列表。 允许暴力破解或其他自动攻击。 允许默认的、弱的或众所周知的密码,例如“Password1”或“admin/admin”。 使用弱的或失效的验证凭证,忘记密码程序,例如“基于知识的答案”,这是不安全的。 使用明文、加密或弱散列密码(参见:A3:2017-敏感数据泄露)。 缺少或失效的多因素身份验证。 暴露URL中的会话ID(例如URL重写)。 在成功
二、失效身份认证漏洞
weixin_46849264的博客
03-01 675
失效身份认证漏洞
失效身份认证会话管理
热门推荐
whoim_i的博客
11-20 1万+
目录身份认证会话管理失效身份认证会话管理原理危害案例如何判断如何防范1、区分公共区域和受限区域2、对最终用户帐户使用帐户锁定策略3、支持密码有效期4、能够禁用帐户5、不要存储用户密码6、要求使用强密码7、不要在网络上以纯文本形式发送密码8、保护身份验证 Cookie9、使用 SSL 保护会话身份验证 Cookie10、对身份验证 cookie 的内容进行加密11、限制会话寿命12、避免未经授...
网络安全入门必知的OWASP top 10漏洞详解_top10漏洞
最新发布
2401_84204207的博客
05-11 1094
近年来,敏感数据泄露已经成为了一最常见、最具影响力的攻击,一般我们的敏感信息包括密码、财务数据、医疗数据等,由于web应用或者API未加密或不正确的保护敏感数据,这些数据极易遭到攻击者利用,攻击者可能使用这些数据来进行一些犯罪行为,因此,未加密的信息极易遭到破坏和利用,不久前就爆出过Facebook泄露了用户的大量信息,以及12306也多次泄露用户的信息。现在信息泄露已经成为了owasp top 10中排名前三的漏洞之一,可想而知敏感信息泄露现在已经成为十分严重的问题。
安全漏洞——失效身份认证会话管理(二)
weixin_41367084的博客
08-26 2376
一、失效身份认证会话管理漏洞 1.定义 2.名词解释 3.造成缺陷原因 4.举例 5.防止攻击手段 一、失效身份认证会话管理漏洞 1.定义:应用程序中与身份验证或者会话相关的功能未正确实现,导致攻击者可以破坏密码、密钥、会话令牌或者利用其他缺陷来假冒用户的身份,达到攻击的目的。 2.名词解释: Session 服务器端记录用户的信息,当用户完成身份认证后,存储所需要的用户资料。 - Cookie 服务器端发送,存储在客户端。在用户访问网站的时候建立(登陆),用于跟踪用户在网站中的活动,每次请求和客.
【墨者学院】身份认证失效漏洞实战
weixin_61951055的博客
07-19 1170
【墨者学院】身份认证失效漏洞实战——二锅头的博客
【Java代码审计】失效身份认证
大河之犬的博客
01-12 1123
失效身份认证是指错误地使用应用程序的身份认证会话管理功能,使攻击者能够破译密码、密钥或会话令牌,或者利用其他开发漏洞暂时或长久地冒充其他用户的身份,导致攻击者可以执行受害者用户的任何操作。JSON Web Token 为开发人员提供了几种对有效负载声明进行数字签名的方法。这确保了数据完整性和强大的用户身份验证,每当开发人员使用 HMAC 签名时,他们都需要提供一个密钥,用于签名和验证令牌。如果这个密钥不够强大,整个签名可能会被泄露,造成越权操作等危害。
渗透测试面试之OWASP Top10
mengzhishanghun的博客
05-06 849
转载自: https://netsecurity.51cto.com/art/202003/611597.htm 实践案例:https://zhuanlan.zhihu.com/p/46505934 OWASP Top101.注入2.失效身份认证3. 敏感数据泄露4. XML外部实体(XXE)5. 失效的访问控制6. 安全配置错误7. 跨站脚本(XSS)8. 不安全的反序列化9. 使用含已知漏洞的组件10. 不足的日志记录和监控 1.注入 将不受信任的数据作为命令或查询的一部分发送到解释器时,会产生诸如S
OWASP列举的Web应用程序十大安全漏洞 - 失效身份认证会话管理
qq_31142237的博客
02-11 3712
OWASP列举的Web应用程序十大安全漏洞 - 失效身份认证会话管理
OWASP TOP10 2010:Web安全关键风险解析
"OWASP TOP10 2010WEB安全(中文版) - 描述了2010年OWASP发布的Web应用程序安全的十大关键风险,包括风险的命名变化、评估方法以及新增和替换的风险类别。" OWASP TOP10 2010是一个重要的网络安全参考列表,由开放式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值