认证漏洞
Last updated
Last updated
概念上来讲,认证漏洞是最容易理解的问题之一。然而,由于认证与安全之间明显的关系,它们可能是最关键的问题之一。除了可能允许攻击者直接访问敏感数据和功能之外,它们还为进一步的攻击提供了额外的攻击面。因此,学习如何识别和利用认证漏洞,包括如何绕过常见的保护措施,是一项基本技能。
在本节中,我们将介绍网站常用的一些认证机制,并讨论其中可能存在的漏洞。我们将重点介绍不同认证机制中固有的漏洞,以及由于其不正确的实现而引入的一些典型漏洞。最后,我们将提供一些关于如何确保自己的认证机制尽可能健壮的基本指南。
Labs
如果你已经熟悉认证漏洞背后的基本概念,并且只想在一些现实的、故意易受攻击的目标上练习利用这些漏洞,你可以通过下面的链接访问本主题中的所有实验。
认证是验证给定用户或客户端身份的过程。换句话说,它涉及确保他们确实是自己所声称的那个人。至少在某种程度上,网站在设计上是暴露给任何连接到互联网的人面前的。因此,强大的认证机制是有效Web安全的一个重要方面。
有三种认证因素,不同类型的认证可以被分类到这三种因素中:
某种你所知道的东西,比如密码或安全问题的答案。有时被称为“知识因素”。
某种你所拥有的东西,即像手机或安全令牌这样的实物。有时被称为“持有因素”。
你是什么或做什么,例如你的生物特征或行为模式。有时被称为“固有因素”。
认证机制依赖于一系列技术来验证这些因素中的一个或多个。
认证是验证一个用户是否真的是他们声称的那个人的过程,而授权则是验证用户是否被允许做某事。
在一个网站或Web应用程序中,认证确定试图使用用户名Carlos123访问网站的人是否确实是创建该账户的同一个人。
一旦Carlos123通过认证,他的权限就决定了他是否被授权,例如,访问其他用户的个人信息,或者执行删除其他用户账户等操作。
广义上讲,认证机制中的大多数漏洞都是通过以下两种方式之一产生的:
认证机制薄弱,因为它们未能充分防御暴力攻击。
在实现过程中存在逻辑缺陷或不良编码,允许攻击者完全绕过认证机制。这有时被称为“破解认证”。
在Web开发的许多领域中,逻辑缺陷会导致网站的行为出乎意料,这可能是也可能不是一个安全问题。然而,由于认证对安全至关重要,有缺陷的认证逻辑会使网站暴露安全问题的可能性明显提高。
认证漏洞的影响可能非常严重。一旦攻击者绕过了认证或通过暴力破解进入另一个用户的账户,他们将获得被入侵的账户所拥有的所有数据和功能的访问权限。如果他们能够入侵一个高权限的账户(如系统管理员),他们就可以完全控制整个应用程序,并有可能获得对内部基础设施的访问。
即使攻击者只能攻击低权限账户,他们可能仍然获得他们本来不应该拥有的数据访问权限,例如商业敏感信息。即使该账户无权访问任何敏感数据,攻击者仍可能通过访问其他页面来扩大攻击面。通常,某些高危的攻击可能无法从公开可访问的页面进行,但可能可以从内部页面进行。
一个网站的认证系统通常由几个不同的机制组成,漏洞可能发生在其中。某些漏洞广泛适用于所有这些情况,而其他漏洞则更具体地针对所提供的功能。
我们将更详细地介绍以下领域中一些最常见的漏洞:
请注意,其中有几个实验需要你枚举用户名并暴力破解密码。为了帮助你完成这个过程,我们提供了一个候选用户名和密码的短名单,你应该用它们来解决这些实验。
如果你喜欢攻击认证机制,在完成我们主要的认证实验后,更高级的用户可能会想尝试解决我们的OAuth认证实验。
阅读更多
我们已经展示了网站由于如何实现认证而受到攻击的几种方式。为了降低自己的网站遭受此类攻击的风险,有几个通用原则你应该始终尽量遵循。
阅读更多
