最新动态

常见问题

Web渗透之渗透测试(四)

2021/3/16 13:06:19 阅读次数: 标签:web渗透,身份认证,访问认证

(十)失效的身份认证


漏洞描述

攻击者一般能够通过故意输入错误的应用程序身份认证和会话管理功能,对密码、密钥或会话令牌进行破解;或者利用其它开发缺陷来冒充真实的用户身份。


渗透测试

在登陆前后,对提交界面中随机变化的数据进行观察,挖掘与当前已登陆用户进行绑定的会话唯一标识。

现在的网站没有那种简单可破解的标识,但假如是跨站认证,那么当初技术人员在单点登录的场景中可能会特意将身份认证进行简化,从而方便web开发。


风险评级:高风险


安全建议

1.不使用简单弱加密方式、而改用强身份识别;

2.服务器端使用安全的会话管理器,在登录后生成高度复杂的新随机会话ID。

3.不将会话ID设置在URL中,可以通过设置安全存储功能,在用户登出、网页闲置超时后使其失效。


(十一)失效的访问控制


漏洞描述

不正当的通过身份验证的用户访问控制。

攻击者可以利用这些缺陷,来对未经授权的功能或数据加以访问,例如访问其他用户的帐户、修改某真实用户信息、查看敏感文件、更改访问权限等。


渗透测试

登入后,通过burpsuite 抓取相关url 链接,获取到url 链接之后,在另一个浏览器打开相关链接,看能够通过另一个未登入的浏览器直接访问该功能点。

使用A用户登陆,然后在另一个浏览器使用B用户登陆,使用B访问A独有的功能,看能否访问。


风险评级:高风险


安全建议

1.对API和控制器的访问进行速率限制,以最大限度地降低自动化攻击工具的危害;

2.除公有资源外,默认情况下拒绝访问非本人所有的私有资源;

3.当用户注销后,服务器上的Cookie,JWT等令牌应失效;

4.无差别校验每一个网站请求权限。