详解Web应用安全系列(3)失效的身份认证

大多数身份和访问管理系统的设计和实现，普遍存在身份认证失效的问题。会话管理是身份验证和访问控制的基础，并且存在于所有有状态的应用程序中。攻击者可以使用指南手册来检测失效的身份认证，但通常会关注密码转储，字典攻击，或者在类似于钓鱼或社会工程攻击之后，发现失效的身份认证。

确认用户的身份，身份验证和会话管理非常重要，这些措施可用于将恶意的未经身份验证的攻击者与授权用户分离，如果您的应用程序存在以下问题，那么可能存在身份验证的脆弱性。

一，弱密码

弱密码故名思义，就是使用默认的，广为人知的密码，比如123456，admin，password等等，因为黑客在他的数据库里已经保存了常见的，简单的弱密码，所以黑客可以使用破解工具轻松破解用户的密码，然后非法登录登录帐号，对系统进行进一步的攻击。

尤其是在生产环境的服务器管理员密码的设置上，如果使用了弱密码造到黑客破解，会对生产环境系统运行和用户的数据安全造成极大威胁。

 

防范措施

强制使用高复杂度的密码或口令，比如8到12位，同时包含大小写字母，数字和特殊符号组合的密码，并且定期（比如每三个月）修改一次密码。

 

二，暴力破解

暴力破解也是一个比较容易忽略的漏洞，黑客可以利用爆破工具对网站的用户和密码进行枚举（网站也没有对这样的攻击进行限制），成功利用此漏洞的攻击者可以进行非法登录帐号，从而进行更高级的攻击，威胁网站的安全。

 

防范措施

限制登录数据包的使用次数，可以基于用户，也可以基于IP来限制，比如同一IP 五分钟内重试次数不能超过5次，如果超过就临时锁定。

 

三，撞库

撞库其实跟弱密码和暴力破解漏洞有联系，其核心思想是通过收集互联网上已经泄露的用户名和密码信息，生成对应的字典表，然后利用这些字典表批量尝试登录其它网站，以获取一系列可以登录的帐号。

 

防范措施

使用高复杂度的密码，同时避免在多个系统中使用相同的密码。

 

四，多因子认证

一般来说，我们登录网站使用用户名加密码来登录，但是这种方式安全性不高，黑客如果获取到了用户名和密码就可以登录网站，从而对网站安全产生具大威胁。

那么多因子认证就是在传统的用户名加密码之外，提供另一种类型的认证因子来验证其身份，这些认证因子通常包括：手机短信验证码，指纹或面容ID。那么这种多因子认证可以极大地提高系统的安全性。

 

防范措施

除传统的用户名加密外，引入短信验证码等来验证用户身份。

 

五，低复杂度的验证码

在我们登录网站的时候，为了防止黑客攻击通常会使用到验证码，但是传统的验证一般是数字或字母的组合，比如下面这样子的，

这种验证码很容易通过OCR之类的技术进行识别，导致黑客攻击的难度大大降低。

 

防范措施

使用现在主流的，高复杂度的验证码，比如滑块拼图验证码，这样黑客很难通过程序直接识别，从而提高了网站的安全性。

 

 

另外，我最近开发并开源了一个支持免费申请通配符SSL证书的平台：华迅FreeCert，解决了每隔一段时间就要重新申请和部署证书（因为传统的云厂商提供的免费证书一般只有三个月有效期），不支持免费申请通配符证书这两大痛点，欢迎大家注册使用并提供宝贵意见，谢谢！