课程名称: 大话HTTP协议 漫画+图解打造的编程基础课程
课程章节: 验证机制安全
课程内容:
验证机制概述
- 验证机制是Web应用程序中最简单的一种安全机制
- 一般来说,应用程序必须核实用户提交的用户名和密码是否正确。正确则允许登录,否则禁止登录
- 验证机制是应用程序防御恶意攻击的核心机制
- 它处于安全防御的最前沿,如果被用户轻易突破,通常应用程序的全部功能、数据都会被其控制
- 缺乏安全有效的验证机制,其他核心安全机制都无法实施(会话管理和访问控制)
典型的身份验证模式讨论
验证技术
- 基于HTML表单的验证
- 多元机制,如组合型密码
- 客户端ssl证书
常见漏洞
弱密码
许多Web应用程序没有或很少对用户密码强度进行控制
* 非常短或空白密码
* 以常用字典词汇为密码(password、123456)
* 密码与用户名完全相同
* 长时间使用默认密码
暴力破解
- 登录功能的公开性会诱使攻击者视图猜测用户名和密码,从而获得访问应用程序的权力
- 如果应用程序允许攻击者用不同的密码暴力尝试,直到他找到正确的密码,这个程序就非常容易遭受攻击
- 执行暴力攻击
- 很多工具(如Burpsuite),自身提供了一些常用密码破解list,我们也可以自行添加一些常用字典,网上也有更多全面的密码字典
- 依赖今天的带宽和处理能力,根据经验,每分钟可以发出几千甚至上万个登录尝试,如果没有一些安全措施的话,最强大的密码也最终会被攻破
暴力破解-安全措施
验证码技术
* 最常见和有效的应对方式,需要注意几个问题
1. 验证码是否真实有效
2. 验证码复杂度
3. 应对当前的“打码”事业盛行(OCR)
4. 人们已经对captcha技术做了大量研究
Cookie和会话检测
- 有些应用程序会设置一个cookie,如failedlogin=0;
登录尝试失败,递增该值,达到某个上限,检测到这个值并拒绝再次处理登录 - 失败计数器可能在cookie中,也可能存储在会话中
双因子认证
- 双因子认证的核心是综合What you know(个人密码)和What you have(手机)来达到双重认证效果
- 目前很多电商、银行都采用的该认证方式
谁忘记了你的密码
- 当前互联网网站大多提供“忘记密码”功能,但是呢,这里面往往会存在一些典型的安全问题
- 核心问题就是忘记密码的流程跳过的身份验证
- 如果不考虑通过客服找回密码的话,通常网站设计有三种方式来认证用户
- 用户设定的安全问题
- 用户注册时留下的安全邮箱
- 给预留手机号发送验证码短信
- 忘记密码模块可能存在的漏洞
安全问题
- 某网站登录页面中的找回密码功能,再点击下面
邮箱重置密码
MD5加密依赖
多阶登录机制
课程收获:
感谢老师,给我们讲解了验证机制的安全漏洞问题以及常见的漏洞,让我认识到我们原本以为很安全的机制其实都不太安全。
课程截图:
点击查看更多内容
为 TA 点赞
评论
共同学习,写下你的评论
评论加载中...
作者其他优质文章
正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦