失效的身份认证和会话管理

1、Page 2目录目录身份认证和会话管理身份认证和会话管理如何检验漏洞如何检验漏洞如何防范漏洞如何防范漏洞Page 3前言前言 失效的身份认证和会话管理，根据最新的失效的身份认证和会话管理，根据最新的OWASP TOP 10显示它显示它位列位列10大大Web漏洞中的第二位。这意味着它是一个高度危险的漏洞漏洞中的第二位。这意味着它是一个高度危险的漏洞存在于互联网上的多数网站的应用程序中。存在于互联网上的多数网站的应用程序中。Page 4身份认证和会话管理身份认证和会话管理 在进一步解释这种危险的漏洞之前，让我们了解一下身份认证和在进一步解释这种危险的漏洞之前，让我们了解一下身份认证和会话管理的基本

2、知识。会话管理的基本知识。 身份认证，最常见的是登录功能，往往是提交用户名和密码，在身份认证，最常见的是登录功能，往往是提交用户名和密码，在安全性要求更高的情况下，有防止密码暴力破解的验证码，基于客户安全性要求更高的情况下，有防止密码暴力破解的验证码，基于客户端的证书，物理口令卡等等。端的证书，物理口令卡等等。 会话管理，会话管理，HTTP本身是无状态的，利用会话管理机制来实现连本身是无状态的，利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌，通常放在接识别。身份认证的结果往往是获得一个令牌，通常放在cookie中，中，之后对用户身份的识别根据这个授权的令牌进行识别，而不需要每

3、次之后对用户身份的识别根据这个授权的令牌进行识别，而不需要每次都要登陆。都要登陆。Page 5失效的身份和会话管理失效的身份和会话管理 用户身份认证和会话管理是一个应用程序中最关键的过程，有缺用户身份认证和会话管理是一个应用程序中最关键的过程，有缺陷的设计会严重破坏这个过程。在开发陷的设计会严重破坏这个过程。在开发Web应用程序时，开发人员往应用程序时，开发人员往往只关注往只关注Web应用程序所需的功能。由于这个原因，开发人员通常会应用程序所需的功能。由于这个原因，开发人员通常会建立自定义的认证和会话管理方案。但要正确实现这些方案却很难，建立自定义的认证和会话管理方案。但要正确实现这些方案却很

4、难，结果这些自定义的方案往往在如下方面存在漏洞：退出、密码管理、结果这些自定义的方案往往在如下方面存在漏洞：退出、密码管理、超时、记住我、秘密问题、帐户更新等等。因为每一个实现都不同，超时、记住我、秘密问题、帐户更新等等。因为每一个实现都不同，要找出这些漏洞有时会很困难。要找出这些漏洞有时会很困难。 一些存在此漏洞的例子：一些存在此漏洞的例子：1、用户更改密码之前不验证用户，而是依靠会话的、用户更改密码之前不验证用户，而是依靠会话的IP地址；地址；2、没有会话超时限制；、没有会话超时限制；3、用户忘记密码后，密码找回功能太过简单。、用户忘记密码后，密码找回功能太过简单。Page 6 例例1：应

5、用程序超时设置不当。用户使用公共计算机访问网站。离开时，该用：应用程序超时设置不当。用户使用公共计算机访问网站。离开时，该用户没有点击退出，而是直接关闭浏览器。攻击者在一个小时后能使用相同浏户没有点击退出，而是直接关闭浏览器。攻击者在一个小时后能使用相同浏览器通过身份认证。览器通过身份认证。 例例2：机票预订应用程序支持：机票预订应用程序支持URL重写，把会话重写，把会话ID放在放在URL里：里：;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii 该网站一个经过认证的用户希望让他朋友知道这个机票打折信息。他将上面该网站一个经过认证的用户希

6、望让他朋友知道这个机票打折信息。他将上面链接通过邮件发给他朋友们，并不知道自己已经泄漏了自己的会话链接通过邮件发给他朋友们，并不知道自己已经泄漏了自己的会话ID。当他。当他的朋友们使用上面的链接时，他们将会使用他的会话和信用卡。的朋友们使用上面的链接时，他们将会使用他的会话和信用卡。Page 7如何验证程序是否存在失效的认证和会话管理如何验证程序是否存在失效的认证和会话管理 最需要要保护的数据是认证凭证最需要要保护的数据是认证凭证(credentials) 和会话和会话ID。1.当存储认证凭证时，是否总是使用当存储认证凭证时，是否总是使用hashing或加密保护吗或加密保护吗?2. 认证凭证是

7、否可猜测，或者能够通过薄弱的的帐户管理功能认证凭证是否可猜测，或者能够通过薄弱的的帐户管理功能（例如账户创建、密码修改、密码恢复（例如账户创建、密码修改、密码恢复, 弱会话弱会话ID）重写？）重写？3.会话会话ID是否暴露在是否暴露在URL里里(例如例如, URL重写重写) 4.会话会话ID是否容易受到会话固定是否容易受到会话固定(session fixation) 的攻击的攻击?5.会话会话ID会超时吗会超时吗? 用户能退出吗用户能退出吗?6.成功注册后成功注册后,会话会话ID会轮转吗会轮转吗? 7. 密码、会话密码、会话ID和其他认证凭据是否只通过和其他认证凭据是否只通过TLS连接传输？连

8、接传输？Page 8如何防范如何防范1、区分公共区域和受限区域、区分公共区域和受限区域 站点的公共区域允许任何用户进行匿名访问。受限区域只能接受特定用站点的公共区域允许任何用户进行匿名访问。受限区域只能接受特定用户的访问，而且用户必须通过站点的身份验证。考虑一个典型的零售网站。户的访问，而且用户必须通过站点的身份验证。考虑一个典型的零售网站。您可以匿名浏览产品分类。当您向购物车中添加物品时，应用程序将使用会您可以匿名浏览产品分类。当您向购物车中添加物品时，应用程序将使用会话标识符验证您的身份。最后，当您下订单时，即可执行安全的交易。这需话标识符验证您的身份。最后，当您下订单时，即可执行安全的交

9、易。这需要您进行登录，以便通过要您进行登录，以便通过 SSL 验证交易。验证交易。将站点分割为公共访问区域和受限访问区域，可以在该站点的不同区域使用将站点分割为公共访问区域和受限访问区域，可以在该站点的不同区域使用不同的身份验证和授权规则，从而限制对不同的身份验证和授权规则，从而限制对 SSL 的使用。使用的使用。使用 SSL 会导致性会导致性能下降，为了避免不必要的系统开销，在设计站点时，应该在要求验证访问能下降，为了避免不必要的系统开销，在设计站点时，应该在要求验证访问的区域限制使用的区域限制使用 SSL。 2、支持密码有效期、支持密码有效期 密码不应固定不变，而应作为常规密码维护的一部分

10、，通过设置密码不应固定不变，而应作为常规密码维护的一部分，通过设置密码有效期对密码进行更改。在应用程序设计阶段，应该考虑提供这密码有效期对密码进行更改。在应用程序设计阶段，应该考虑提供这种类型的功能。种类型的功能。Page 9 3、能够禁用帐户、能够禁用帐户 如果在系统受到威胁时使凭证失效或禁用帐户，则可以避免遭受进一步的如果在系统受到威胁时使凭证失效或禁用帐户，则可以避免遭受进一步的攻击。攻击。 4、要求使用强密码、要求使用强密码 不要使攻击者能轻松破解密码。有很多可用的密码编制指南，但通常的不要使攻击者能轻松破解密码。有很多可用的密码编制指南，但通常的做法是要求输入至少做法是要求输入至少 8 位字符，其中要包含大写字母、小写字母、数字和特位字符，其中要包含大写字母、小写字母、数字和特殊字符。无论是使用平台实施密码验证还是开发自己的验证策略，此步骤在殊字符。无论是使用平台实施密码验证还是开发自己的验证策略，此步骤在对付粗暴攻击时都是必需的。在粗暴攻击中，攻击者试图通过系统的试错法对付粗暴攻击时都是必需的。在粗暴攻击中，攻击者试图通过系统的试错法来破解密码。使用常规表达式协助强密码验证。来破解密码。使用常规表达式协助强密码验证。 5、不要在网络上以纯文本形式发送密码