A2-不当的认证和会话管理

1、原因
    认证和会话管理方法设计不当。
    包括注销、密码管理、超时机制、记住用户、密码问题、账户更新等。
    
2、危害
    帐号被盗取，攻击者可以拥有该帐号的所有权限。特权帐号常被攻击。
    
3、发现
    （1）存储口令时使用了不安全的哈希或加密算法。
    （2）利用弱帐号管理功能，猜解或覆盖用户口令（帐号创建、修改密码、找回密码、弱sessionID）。
    （3）sessionID暴露在URL中。
    （4）sessionID在认证通过后没有更新，会受到会话固定攻击。
    （5）sessionID不会超时，或者退出登录后，认证token（尤其SSO token）没有失效。
    （6）口令、sessionID和其他认证字段通过非加密通道传输。
    
4、防护
    （1）认证和会话管理控制系统，满足OWASP ASVS标准（v2-认证，v3-会话管理），并且为开发者提供简单的接口（参考ESAPI Authenticator and User APIs）。
    （2）防止出现xss漏洞。