A2-不当的认证和会话管理
来源:互联网 发布:东方财富行情软件 编辑:程序博客网 时间:2024/06/11 20:42
1、原因
认证和会话管理方法设计不当。
包括注销、密码管理、超时机制、记住用户、密码问题、账户更新等。
2、危害
帐号被盗取,攻击者可以拥有该帐号的所有权限。特权帐号常被攻击。
3、发现
(1)存储口令时使用了不安全的哈希或加密算法。
(2)利用弱帐号管理功能,猜解或覆盖用户口令(帐号创建、修改密码、找回密码、弱sessionID)。
(3)sessionID暴露在URL中。
(4)sessionID在认证通过后没有更新,会受到会话固定攻击。
(5)sessionID不会超时,或者退出登录后,认证token(尤其SSO token)没有失效。
(6)口令、sessionID和其他认证字段通过非加密通道传输。
4、防护
(1)认证和会话管理控制系统,满足OWASP ASVS标准(v2-认证,v3-会话管理),并且为开发者提供简单的接口(参考ESAPI Authenticator and User APIs)。
(2)防止出现xss漏洞。
- A2-不当的认证和会话管理
- 浅谈网站失效的认证和会话管理
- [其他] 认证与会话管理
- java的会话管理:Cookie和Session
- java的会话管理:Cookie和Session
- java的会话管理:Cookie和Session
- web安全学习笔记之-认证和会话管理-访问控制
- 管理进程和会话
- Axis2的会话管理
- 会话管理的手段
- php的会话管理
- 关于会话的管理
- java的会话管理:Cookie和Session(转)
- Axis2的会话管理(译)
- Servlet的会话管理 机制
- 谈谈php的会话管理
- 基于会话的测试管理
- WebService会话Session的管理
- 毕业生必须知道:干部身份、三方协议、派遣证、人事代理、户口迁移 、编制、工龄、签约、档案
- php中的页面分页代码
- 认识smack中的基本对象 - Presence对象
- s:if集合非空判断
- 关于ViewState
- A2-不当的认证和会话管理
- 金额数据格式化
- android log 调试
- Linux命令大全
- 对中级 Linux 用户非常有用的 20 个命令
- poj-3253-Fence Repair
- SMP与AMP-UMA与NUMA概念
- 认识smack中的基本对象 - Roster对象
- import paramiko时一个AttributeError错误的解决