1. beplay体育能用吗网络安全学院
  2. 身份验证漏洞
  3. 多因素

多因素身份验证中的漏洞

在本节中,我们将研究多因素身份验证机制中可能发生的一些漏洞。我们还提供了几个交互式实验室,以说明如何在多因素身份验证中利用这些漏洞。

许多网站仅beplay体育能用吗依靠使用密码来验证用户的单因素身份验证。但是,有些人要求用户使用多个身份验证因素证明其身份。

对于大多数网站而言,验证生物识别因素是不切实际的。beplay体育能用吗但是,越来越普遍的是,基于强制性和可选的两因素身份验证(2FA)你知道的东西你有的东西。这通常要求用户同时从带外物理设备的传统密码和临时验证代码中输入。

虽然攻击者有时可能会获得单个基于知识的因素,例如密码,但能够同时从带外来源获得另一个因素的可能性大大较小。因此,两因素身份验证比单因素身份验证更安全。但是,与任何安全措施一样,它仅与实施一样安全。可以像单因素身份验证一样,可以击败甚至完全绕过的两因素身份验证,甚至完全绕过。

还值得注意的是,多因素身份验证的全部好处仅通过验证多个不同的因素。以两种不同的方式验证相同因素不是真正的两因素身份验证。基于电子邮件的2FA就是这样的示例。尽管用户必须提供密码和验证代码,但访问代码仅依赖于他们知道其电子邮件帐户的登录凭据。因此,知识身份验证因素只是被两次验证。

两因素身份验证令牌

验证代码通常由用户从某种物理设备中读取。现在,许多高安全性网站为此为用户提供了beplay体育能用吗用于此目的的专用设备,例如RSA令牌或键盘设备,您可能可以用来访问在线银行业务或工作笔记本电脑。除了专门为安全性设计外,这些专用设备还具有直接生成验证代码的优势。由于同样的原因,网站也常用于使用专用移动应用beplay体育能用吗程序(例如Google Authenticator)。

另一方面,一些网站作为短信将验证代码发送到用户的beplay体育能用吗手机。尽管从技术上讲,这仍在验证“您拥有的事物”的因素,但它却开放了滥用。首先,该代码是通过SMS传输的,而不是由设备本身生成。这为代码拦截的潜力创造了潜力。也有SIM交换的风险,攻击者欺诈性地获得了带有受害者电话号码的SIM卡。然后,攻击者将收到发送给受害者的所有SMS消息,包括包含其验证代码的消息。

绕过两因素身份验证

有时,两因素身份验证的实施是有缺陷的,以完全绕过它。

如果首先提示用户输入密码,然后提示在单独的页面上输入验证代码,则在输入验证代码之前,用户在“登录”状态中有效地处于“登录”状态。在这种情况下,值得一试的是,在完成第一个身份验证步骤后,是否可以直接跳过“仅登录”页面。有时,您会发现网站实际上不会检查您是否在加载页面之前完成了第二步。beplay体育能用吗

有缺陷的两因素验证逻辑

有时,两因素身份验证中有缺陷的逻辑意味着,在用户完成初始登录步骤后,网站无法充分验证同一用户正在完成第二步。beplay体育能用吗

例如,用户在第一步中登录其正常凭据,如下:

post/login-steps/first http/1.1主机:脆弱的website.com .beplay体育能用吗.. username = carlos&password = qwerty

然后,他们将分配一个与他们的帐户相关的cookie,然后将其带入登录过程的第二步:

HTTP/1.1 200 OK Set-Cookie:帐户= Carlos get/login-steps/second http/1.1 cookie:account = carlos

提交验证代码时,请求使用此cookie确定用户试图访问哪个帐户:

发布/登录步骤/第二http/1.1主机:vileserable-website.com cookiebeplay体育能用吗:account = carlos ... carlification-code = 123456

在这种情况下,攻击者可以使用自己的凭据登录,然后更改帐户提交验证代码时,将cookie转换为任何任意用户名。

发布/登录步骤/第二http/1.1主机:vileserable-website.com cookiebeplay体育能用吗:account =受害者 - 用户...验证code = 123456

如果攻击者能够违反验证代码,这将是非常危险的,因为它可以完全基于其用户名登录任意用户的帐户。他们甚至永远不需要知道用户的密码。

蛮力2FA验证代码

与密码一样,网站需要采取步骤来防止2Fbeplay体育能用吗A验证代码的蛮力。这尤其重要,因为代码通常是一个简单的4或6位数字。没有足够的蛮力保护,破解这种代码是微不足道的。

一些网站试beplay体育能用吗图通过输入一定数量的不正确验证代码,自动将用户记录出来,以防止这种情况。这在实践中是无效的,因为高级攻击者甚至可以通过创建宏为了打击侵入者。这涡轮入侵者扩展也可以用于此目的。

免费注册以跟踪您的学习进度

通过Portswigger的网络安全学院工作的好处beplay官网可以赌beplay体育能用吗
  • 练习在现实目标上利用漏洞。

  • 记录您从学徒到专家的发展。

  • 看看您在我们的名人堂中排名。

已经有一个帐户?在此登录