失效的身份认证和会话管理

Page
4
失效的身份和会话管理
用户身份认证和会话管理是一个应用程序中最关键的过程，有缺 陷的设计会严重破坏这个过程。在开发Web应用程序时，开发人员往 往只关注Web应用程序所需的功能。由于这个原因，开发人员通常会 建立自定义的认证和会话管理方案。但要正确实现这些方案却很难， 结果这些自定义的方案往往在如下方面存在漏洞：退出、密码管理、 超时、记住我、秘密问题、帐户更新等等。因为每一个实现都不同， 要找出这些漏洞有时会很困难。 一些存在此漏洞的例子： 1、用户更改密码之前不验证用户，而是依靠会话的IP地址； 2、没有会话超时限制；
2、支持密码有效期 密码不应固定不变，而应作为常规密码维护的一部分，通过设臵 密码有效期对密码进行更改。在应用程序设计阶段，应该考虑提供这 种类型的功能。
Page
8
3、能够禁用帐户 如果在系统受到威胁时使凭证失效或禁用帐户，则可以避免遭受进一步的 攻击。 4、要求使用强密码 不要使攻击者能轻松破解密码。有很多可用的密码编制指南，但通常的做 法是要求输入至少 8 位字符，其中要包含大写字母、小写字母、数字和特殊 字符。无论是使用平台实施密码验证还是开发自己的验证策略，此步骤在对 付粗暴攻击时都是必需的。在粗暴攻击中，攻击者试图通过系统的试错法来 破解密码。使用常规表达式协助强密码验证。 5、不要在网络上以纯文本形式发送密码 以纯文本形式在网络上发送的密码容易被窃听。为了解决这一问题，应确 保通信通道的安全，例如，使用 SSL 对数据流加密。 还有对身份验证 cookie 的内容进行加密等。
3、用户忘记密码后，密码找回功能太过简单。
Page
5
例1：应用程序超时设臵不当。用户使用公共计算机访问网站。离开时，该用 户没有点击退出，而是直接关闭浏览器。攻击者在一个小时后能使用相同浏 览器通过身份认证。 例2：机票预订应用程序支持URL重写，把会话ID放在URL 里：;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawai i 该网站一个经过认证的用户希望让他朋友知道这个机票打折信息。他将上面 链接通过邮件发给他朋友们，并不知道自己已经泄漏了自己的会话ID。当他 的朋友们使用上面的链接时，他们将会使用他的会话和信用卡。
Page
7
如何防范
1、区分公共区域和受限区域 站点的公共区域允许任何用户进行匿名访问。受限区域只能接受特定用 户的访问，而且用户必须通过站点的身份验证。考虑一个典型的零售网站。 您可以匿名浏览产品分类。当您向购物车中添加物品时，应用程序将使用会 话标识符验证您的身份。最后，当您下订单时，即可执行安全的交易。这需 要您进行登录，以便通过 SSL 验证交易。 将站点分割为公共访问区域和受限访问区域，可以在该站点的不同区域使用 不同的身份验证和授权规则，从而限制对 SSL 的使用。使用 SSL 会导致性 能下降，为了避免不必要的系统开销，在设计站点时，应该在要求验证访问 的区域限制使用 SSL。
失效的身份认证和会话管理
目录
身份认证和会话管理
失效的身份认证和会话管理
如何检验漏洞
Baidu Nhomakorabea
如何防范漏洞
Page
2
前言
失效的身份认证和会话管理，根据最新的OWASP TOP 10显示它 位列10大Web漏洞中的第二位。这意味着它是一个高度危险的漏洞存 在于互联网上的多数网站的应用程序中。
Page
3
身份认证和会话管理
在进一步解释这种危险的漏洞之前，让我们了解一下身份认证和 会话管理的基本知识。 身份认证，最常见的是登录功能，往往是提交用户名和密码，在 安全性要求更高的情况下，有防止密码暴力破解的验证码，基于客户 端的证书，物理口令卡等等。 会话管理，HTTP本身是无状态的，利用会话管理机制来实现连 接识别。身份认证的结果往往是获得一个令牌，通常放在cookie中， 之后对用户身份的识别根据这个授权的令牌进行识别，而不需要每次 都要登陆。
Page
6
如何验证程序是否存在失效的认证和会话管理
最需要要保护的数据是认证凭证(credentials) 和会话ID。 1.当存储认证凭证时，是否总是使用hashing或加密保护吗? 2. 认证凭证是否可猜测，或者能够通过薄弱的的帐户管理功能 （例如账户创建、密码修改、密码恢复, 弱会话ID）重写？ 3.会话ID是否暴露在URL里(例如, URL重写) 4.会话ID是否容易受到会话固定(session fixation) 的攻击? 5.会话ID会超时吗? 用户能退出吗? 6.成功注册后,会话ID会轮转吗? 7. 密码、会话ID和其他认证凭据是否只通过TLS连接传输？
Page
9
谢谢观赏