A2:2017 - 失效的身份验证
漏洞描述:
通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。
漏洞影响:
攻击者只需要访问几个帐户,或者只需要一个管理员帐户就可以破坏我们的系统。根据应用程序领域的不同,可能会导致放任洗钱、社会安全欺诈以及用户身份盗窃、泄露法律高度保护的敏感信息。
检测场景:
弱验证:
弱口令、弱验证码、登录绕过(逻辑、cookie)、密码找回
弱会话:
明文传输、URL中暴露会话ID、会话ID不更新
预防思路:
1、加强验证方面:加强密码策略、登录失败处理、多因素验证
2、加强会话方面:加密会话(SSL/TLS)、加入token