博客

OWASP十大WEB程序安全风险之二:失效的身份验证

2021-05-06 | 作者: Jason Lu

2011年,彼时是中国电子邮件服务巨头的网易,惨遭用户身份验证流程绕过,进而引发大量隐私数据泄露。其用户数据中用户名/密码哈希组合的5亿条信息被拖库。泄漏后,许多用户报告说,即使在网易上更改了密码后,其它网站上的帐户仍然遭到黑客攻击。如今,身份验证失败仍然是一个严重的问题,在OWASP十大应用安全风险名单中,它名列第二大最普遍的攻击形式。

身份验证失效是指因为使用了过于常用的用户名/密码或者劫持会话ID。它们通常被用于直接攻击破解系统。不仅如此,用户在任何一个网站上的用户名/密码泄漏都可能导致用户其它的账号出现风险。除简单密码攻击外,黑客还有许多其它形式的与会话管理实用程序有关的攻击,这些攻击往往更难以识别,并且可能带来更高级别的威胁。

您可以通过谨慎地设置初始密码的有效范围,来防止身份验证失效的情况,并确保在初始设置后,不会将默认密码用于进一步的身份验证。

攻击示例

下面的示例直接使用未加盐的哈希方法MD5来执行密码检查,而不是正确地使用加盐的哈希方法。这样的代码会带来很多意想不到的风险: 如果系统中的任何用户碰巧使用了别人使用的密码,那么拥有系统管理控制权的人很有可能会检查该结果,然后提取用户的密码。

身份验证失败的攻击很常见,并且可能对企业造成致命的损害。它们也是可被预防的。

 

要了解有关OWASP以及爱科识如何帮助您防止此类漏洞的更多信息,请单击此处

通过使用我们的网站,表明您已经阅读并理解我们的Cookie政策及隐私政策