OWASP top 10 (2017) 学习笔记--失效的身份验证
A2:2017 - 失效的身份验证
漏洞描述:
通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。
漏洞影响:
攻击者只需要访问几个帐户,或者只需要一个管理员帐户就可以破坏我们的系统。根据应用程序领域的不同,可能会导致放任洗钱、社会安全欺诈以及用户身份盗窃、泄露法律高度保护的敏感信息。
检测场景:
弱验证:
弱口令、弱验证码、登录绕过(逻辑、cookie)、密码找回
弱会话:
明文传输、URL中暴露会话ID、会话ID不更新
预防思路:
1、加强验证方面:加强密码策略、登录失败处理、多因素验证
2、加强会话方面:加密会话(SSL/TLS)、加入token
转载于:https://www.cnblogs.com/ScriptKid-Lu/p/10243014.html
OWASP top 10 (2017) 学习笔记--失效的身份验证相关推荐
- ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理
本博文翻译自: https://dotnetcoretutorials.com/2017/10/16/owasp-top-10-asp-net-core-broken-authentication-s ...
- OWASP TOP 10 2017版本
pdf原文地址:http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf 1.前言 不安全的软件正在破坏着我们的金融.医疗.国防.能源和 ...
- OWASP TOP 10 2017中文译文
说明:owasp top 10其实有中文官方版本:本文是按着英文版进行翻译而成. 官方中文版:http://www.owasp.org.cn/owasp-project/OWASPTop102017v ...
- OWASP Top 10:2021
目录 OWASP Top 10 For 2021 A01:2021-Broken Access Control(访问控制失效) A02:2021 – Cryptographic Failures(加密 ...
- 德慎思信息安全OWASP系列之OWASP TOP 10
OWASP系列之OWASP TOP 10 介绍 在信息安全中渗透测试方向,OWASP TOP 10 是渗透测试人员必须要深入了解和学习的,今天我们来深入了解和学习下 OWASP 发布的以往最重要的两个 ...
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
本博文翻译自: https://dotnetcoretutorials.com/2017/10/25/owasp-top-10-asp-net-core-cross-site-scripting-xs ...
- CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系
OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP ...
- 未签名的应用程序请求对系统进行无限制访问_OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险 (完结篇)...
OWASP Top 10 2017 | 10项最严重的Web 应用程序安全风险(一)10项最严重的Web 应用程序安全风险(二) A7:2017 跨站脚本(XSS) 当应用程序的新网页中包含不受信任的 ...
- OWASP top 10漏洞原理及防御(2017版官方)
文章目录 一.OWASP top 10简介 二.OWASP top 10详解 A1:2017-注入 A2:2017-失效的身份认证 A3:2017-敏感数据泄露 A4:2017-XML外部实体(XXE ...
最新文章
- 2021年大数据常用语言Scala(十):基础语法学习 方法
- AS3.0(3)-函数;类;对象
- python编程经典案例-一个非常适合Python新手的编程案例——投票小程序
- 使用控制结构——条件分支语句——简单条件
- UNIX网络编程笔记(4):简单的回射程序
- SpringMVC注解 @initbinder 解决类型转换问题
- 学习Spring Boot:(一)入门
- 信息烟尘中的学习方法
- 最新android proguard下载
- 基于JAVA+Servlet+JSP+MYSQL的党员信息管理系统
- Codeforces Round #315 (Div. 1) A. Primes or Palindromes? 暴力
- Word中调整编号和文字的间距
- WAVE族函数的使用
- postman设置成中文
- jQuery事件自动触发
- MATLAB libsvm 安装和使用
- 各大数据库厂商怎样看竞争对手
- 说小台芒本可儿傲娇又冷艳,也不看看颜值和身段?
- 怎样摆脱焦虑型依恋?
- 人脸美妆之唇色检测算法研究