1. beplay体育能用吗网络安全学院
  2. 身份验证漏洞
  3. 其他机制

其他身份验证机制中的漏洞

在本节中,我们将研究与身份验证相关的一些补充功能,并证明它们如何脆弱。我们还创建了几个交互式实验室,您可以用来将您所学的知识用于实践。

除了基本登录功能外,大多数网站还提供补充功能,以允许用户管理其帐户。beplay体育能用吗例如,用户通常可以在忘记密码时更改密码或重置密码。这些机制还可以引入攻击者可以利用的漏洞。

beplay体育能用吗网站通常会注意避免在其登录页面中众所周知的漏洞。但是,很容易忽略您需要采取类似步骤以确保相关功能同样强大的事实。在攻击者能够创建自己的帐户并且因此可以轻松地研究这些其他页面的情况下,这一点尤其重要。

保持用户登录

一个共同的功能是即使在关闭浏览器会话后仍可以保持登录。这通常是一个简单的复选框,标有诸如“记住我”或“保持我登录”之类的东西。

这种功能通常是通过生成某种“记住我”令牌来实现的,然后将其存储在持久的cookie中。由于拥有此cookie可以有效地绕过整个登录过程,因此该cookie的猜测是不切实际的。但是,一些网站基于可预测的静beplay体育能用吗态值串联(例如用户名和时间戳)生成此cookie。有些甚至使用密码作为cookie的一部分。如果攻击者能够创建自己的帐户,则这种方法特别危险,因为他们可以研究自己的cookie并可能推断出其生成方式。一旦制定了公式,他们就可以尝试违反其他用户的cookie来访问其帐户。

一些网站假beplay体育能用吗设,如果以某种方式对cookie进行了加密,即使它确实使用静态值也无法猜测。虽然这可能是正确的,如果正确完成,则天真地使用简单的双向编码来“加密” cookie,例如base64都没有任何保护。即使使用单向哈希功能使用适当的加密也不是完全防弹的。如果攻击者能够轻松地识别哈希算法,并且不使用盐,则可以通过简单地放映其文字列表来潜在地违反cookie。如果未对Cookie Guess应用类似的限制,则该方法可用于绕过登录尝试限制。

即使攻击者无法创建自己的帐户,他们仍然可以利用这种漏洞。使用通常的技术,例如XSS,攻击者可以窃取另一个用户的“记住我” cookie,并从中推断出饼干的构建方式。如果网站是使用beplay体育能用吗开源框架构建的,则甚至可以公开记录Cookie Construction的关键细节。

在某些极少数情况下,即使是哈希,也可以从cookie中获取用户的实际密码。著名密码列表的哈希版本可在线获得,因此,如果用户的密码出现在其中一个列表中,则解密哈希偶尔会像将哈希粘贴到搜索引擎中一样琐碎。这证明了盐在有效加密中的重要性。

重置用户密码

在实践中,给定一些用户会忘记他们的密码,因此通常可以将其重置它是很常见的。在这种情况下,显然不可能基于密码的身份验证,因此网站必须依靠替代​​方法来确保真实用户重置自己的密码。beplay体育能用吗因此,密码重置功能本质上是危险的,需要安全地实现。

通常实现此功能的几种不同方式,并且具有不同程度的脆弱性。

通过电子邮件发送密码

不用说,如果网站首先将密码牢固地处理密码,则不可能向用户发送其当前密码。beplay体育能用吗相反,某些网站生成了一个新密beplay体育能用吗码,并通过电子邮件将其发送给用户。

一般而言,应避免通过不安全渠道发送持久密码。在这种情况下,安全性依赖于非常短的时间后生成的密码到期,或者用户立即更改密码。否则,这种方法极易受到中间攻击的影响。

鉴于收件箱既持久又设计用于安全存储机密信息,因此通常不认为电子邮件是安全的。许多用户还可以自动在不安全渠道之间在多个设备之间同步其收件箱。

使用URL重置密码

重置密码的一种更强大的方法是向用户发送唯一的URL,将其带到密码重置页面。此方法的不太安全实现使用具有易于猜测的参数的URL来识别正在重置的帐户,例如:

http://vulnerable-beplay体育能用吗website.com/Reset-password?user=victim-user

在此示例中,攻击者可以更改用户参数参考他们已识别的任何用户名。然后,他们将直接带到一个页面,在那里他们可以为此任意用户设置新密码。

该过程的更好实现是生成高渗透,难以猜测的令牌,并基于此创建重置URL。在最好的情况下,此URL不应提供有关重置哪个用户密码的提示。

http://vulnerable-beplay体育能用吗website.com/reset-password?token=A0BA0BA0D1CB3B63D13822572FCFF1A241895D893F659164D4CC54CC550B421EB421EBDD48A8

当用户访问此URL时,系统应检查该令牌是否存在于后端,如果是,则应该重置该用户的密码。该令牌应在短时间后到期,并在重置密码后立即被销毁。

但是,在提交重置表格时,一些beplay体育能用吗网站也无法再次验证令牌。在这种情况下,攻击者可以简单地从自己的帐户访问重置表格,删除令牌,并利用此页面重置任意用户的密码。

如果将重置电子邮件中的URL动态生成,则可能也容易受到密码重置中毒的影响。在这种情况下,攻击者可能会窃取另一个用户的令牌并使用其更改密码。

更改用户密码

通常,更改密码涉及输入当前密码,然后两次新密码。这些页面从根本上依赖于相同的过程来检查用户名和当前密码是否像普通登录页面一样匹配。因此,这些页面可能容易受到相同的技术的影响。

如果密码更改功能允许攻击者直接访问它而无需登录受害者用户,则可能特别危险。例如,如果在隐藏字段中提供了用户名,则攻击者可能能够在目标任意用户的请求中编辑此值。这可能会被利用以列举用户名和蛮力密码。

免费注册以跟踪您的学习进度

通过Portswigger的网络安全学院工作的好处beplay官网可以赌beplay体育能用吗
  • 练习在现实目标上利用漏洞。

  • 记录您从学徒到专家的发展。

  • 看看您在我们的名人堂中排名。

已经有一个帐户?在此登录