网安云Logo
icon_account
科普
OWASP TOP 10 之失效的身份认证
2023-12-19 16:39:12
58
0
OWASP TOP10漏洞科普

一、什么是失效的身份认证?

大多数身份和访问管理系统的设计和实现,普遍存身份认证失效问题。会话管理是身份验证和访问控制的基础,并且存在于所有有状态应用程序中。攻击者可以使用指南手册来检测失效的身份验证,但通常会关注密码转储、字典攻击,或者在类似于钓鱼或社会工程攻击之后,发现失效的身份认证。

攻击者只需要访问几个帐户,或者只需要一个管理员帐户就可以破坏我们的系统。根据应用程序领域的不同,可能会导致放任洗钱、社会安全欺诈以及用户身份盗窃、泄露法律高度保护的敏感信息。

二、漏洞产生的原因

允许凭证填充,这使得攻击者获得有效用户名和密码的列表

允许暴力破解或其他自动攻击

允许默认的、弱的或众所周知的密码,例如 “123456”或“admin"

使用弱的或失效的验证凭证,忘记密码程序,例如“基于知识的答案

这是不安全的。

使用明文或弱散列密码(参见: A3:2017-敏感数据泄露)

缺少多因素身份验证或拥有失效的多因素身份验证

URL中的会话ID暴露(例如URL重写)

在成功登录后不会更新会话ID

没有正确地使会话ID失效。当用户不活跃的时候,用户会话或认证令牌

(特别是单点登录(SSO) 令牌) 没有正确注销或失效

三、如何防御

多因素身份验证以防止自动凭据填充、暴力破解和凭据盗用重放攻击。

不要使用任何默认凭据进行发布或部署,特别是对于管理员用户。

执行弱密码检查,例如根据前10000个最差密码的列表测试新设置或新更改的密码

确保密码长度、复杂性和轮换策略与NIST 800-63 B第5.1.1节中关于记忆秘密或其他现代的基于证据的密码策略的指南相一致。

通过对所有结果使用相同的message,确保注册功能、凭据恢复和API路径能够抵御帐户枚举攻击。

限制或延迟失败的登录尝试。记录所有登录失败的记录,并在检测到凭据填充、暴力破解或其他攻击时通知管理员。

使用服务器端的、安全的、内置的会话管理器,在登录后生成一个新的具有高熵的随机会话ID。会话ID不应在URL中,应安全存储,并在注销、空闲和绝对超时后失效。

item.title
安全专家服务
item.title
专业售后支持
item.title
1V1大客户服务
item.title
7 * 24小时

热门产品

支持服务

控制台
在线支持

快速入门

文档中心

法律协议

网安云平台服务协议
网安云平台隐私政策

关注或联系我们

公众号二维码
添加网安云公众号,关注热门产品资讯。
联系我们联系我们
客服
免费试用
获取资源