web安全中的身份认证

身份认证

暴力破解、撞库、扫号、恶意锁定

暴力破解

是什么?

攻击者使用自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。

攻击场景

利用自动化工具,如BurpSuite工具的Intruder模块

怎么修复?

使用图形验证码
设置登录失败阈值,超过限制时锁定用户账号
强制要求用户使用高复杂度密码
增加二次验证逻辑,如手机验证码、邮件验证码等

账号锁定

是什么?

帐户锁定机制存在缺陷,可能被恶意利用,锁定用户帐号

怎么修复?

设置自助、反馈管理员解锁逻辑
根据系统安全要求等级,设置锁定阈值
根据系统安全要求等级,设置锁定时间
登录接口使用图形验证码校验区分用户或者自动化攻击

验证码安全

是什么?

验证码技术可以区分当前操作者是计算机还是人,从而有效防范恶意破解密码、刷票、论坛灌水等。

怎么做?

通常使用图片验证码
图片验证码配合指纹识别技术
常见的安全风险
验证码由客户端js生成并且尽在客户端js验证
验证码返回到客户端
验证码输出在cookie中
验证码不过期,没有及时销毁会话导致验证码复用
没有进行非空判断
验证码固定

怎么修复?

每一个会话对应一个验证码,并且验证码校验一次后,无论是否校验成功,都应该将会话的验证码重新刷新,并且设置验证码有效期
增强干扰和字符变形
拓展字符空间

赞(2) 打赏
特别声明:除特殊标注,本站文章均为原创,遵循CC BY-NC 3.0,转载请注明出处。三伏磨 » web安全中的身份认证

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏