A2:2017 - 失效的身份验证

漏洞描述:

通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

漏洞影响:

攻击者只需要访问几个帐户,或者只需要一个管理员帐户就可以破坏我们的系统。根据应用程序领域的不同,可能会导致放任洗钱、社会安全欺诈以及用户身份盗窃、泄露法律高度保护的敏感信息。

检测场景:

弱验证:

  弱口令、弱验证码、登录绕过(逻辑、cookie)、密码找回

弱会话:

  明文传输、URL中暴露会话ID、会话ID不更新

预防思路:

1、加强验证方面:加强密码策略、登录失败处理、多因素验证

2、加强会话方面:加密会话(SSL/TLS)、加入token

转载于:https://www.cnblogs.com/ScriptKid-Lu/p/10243014.html

OWASP top 10 (2017) 学习笔记--失效的身份验证相关推荐

  1. ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理

    本博文翻译自: https://dotnetcoretutorials.com/2017/10/16/owasp-top-10-asp-net-core-broken-authentication-s ...

  2. OWASP TOP 10 2017版本

    pdf原文地址:http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf 1.前言 不安全的软件正在破坏着我们的金融.医疗.国防.能源和 ...

  3. OWASP TOP 10 2017中文译文

    说明:owasp top 10其实有中文官方版本:本文是按着英文版进行翻译而成. 官方中文版:http://www.owasp.org.cn/owasp-project/OWASPTop102017v ...

  4. OWASP Top 10:2021

    目录 OWASP Top 10 For 2021 A01:2021-Broken Access Control(访问控制失效) A02:2021 – Cryptographic Failures(加密 ...

  5. 德慎思信息安全OWASP系列之OWASP TOP 10

    OWASP系列之OWASP TOP 10 介绍 在信息安全中渗透测试方向,OWASP TOP 10 是渗透测试人员必须要深入了解和学习的,今天我们来深入了解和学习下 OWASP 发布的以往最重要的两个 ...

  6. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    本博文翻译自: https://dotnetcoretutorials.com/2017/10/25/owasp-top-10-asp-net-core-cross-site-scripting-xs ...

  7. CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系

    OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP ...

  8. 未签名的应用程序请求对系统进行无限制访问_OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险 (完结篇)...

    OWASP Top 10 2017 | 10项最严重的Web 应用程序安全风险(一)10项最严重的Web 应用程序安全风险(二) A7:2017 跨站脚本(XSS) 当应用程序的新网页中包含不受信任的 ...

  9. OWASP top 10漏洞原理及防御(2017版官方)

    文章目录 一.OWASP top 10简介 二.OWASP top 10详解 A1:2017-注入 A2:2017-失效的身份认证 A3:2017-敏感数据泄露 A4:2017-XML外部实体(XXE ...

最新文章

  1. 2021年大数据常用语言Scala(十):基础语法学习 方法
  2. AS3.0(3)-函数;类;对象
  3. python编程经典案例-一个非常适合Python新手的编程案例——投票小程序
  4. 使用控制结构——条件分支语句——简单条件
  5. UNIX网络编程笔记(4):简单的回射程序
  6. SpringMVC注解 @initbinder 解决类型转换问题
  7. 学习Spring Boot:(一)入门
  8. 信息烟尘中的学习方法
  9. 最新android proguard下载
  10. 基于JAVA+Servlet+JSP+MYSQL的党员信息管理系统
  11. Codeforces Round #315 (Div. 1) A. Primes or Palindromes? 暴力
  12. Word中调整编号和文字的间距
  13. WAVE族函数的使用
  14. postman设置成中文
  15. jQuery事件自动触发
  16. MATLAB libsvm 安装和使用
  17. 各大数据库厂商怎样看竞争对手
  18. 说小台芒本可儿傲娇又冷艳,也不看看颜值和身段?
  19. 怎样摆脱焦虑型依恋?
  20. 人脸美妆之唇色检测算法研究

热门文章

  1. 关闭/开启 ubuntu 自动更新提示
  2. Apache CXF实战之六 创建安全的Web Service
  3. 经常使用的android弹出对话框
  4. iOS使用多线程提高数据并发访问 之七
  5. Windows 如何在cmd命令行中查看、修改、删除与添加环境变量
  6. ajax实现关联词提示
  7. leetcood学习笔记-45-跳跃游戏二
  8. python中time模块常用功能
  9. python之路目录
  10. Maven(七) maven 常用命令