OWASP top 10 (2017) 学习笔记--失效的身份验证

A2:2017 - 失效的身份验证

漏洞描述:

通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

漏洞影响:

攻击者只需要访问几个帐户,或者只需要一个管理员帐户就可以破坏我们的系统。根据应用程序领域的不同,可能会导致放任洗钱、社会安全欺诈以及用户身份盗窃、泄露法律高度保护的敏感信息。

检测场景:

弱验证:

  弱口令、弱验证码、登录绕过(逻辑、cookie)、密码找回

弱会话:

  明文传输、URL中暴露会话ID、会话ID不更新

预防思路:

1、加强验证方面:加强密码策略、登录失败处理、多因素验证

2、加强会话方面:加密会话(SSL/TLS)、加入token

 

posted @ 2019-01-09 10:48  i11USi0n  阅读(1882)  评论(0编辑  收藏  举报