用户认证安全性测试

用户认证安全性测试

认证与会话管理

认证--Authentication

认证实际上就是一个验证凭证的过程

目的是为了认出用户是谁

01 常见认证方式

02 session认证

  • SessionID一旦在生命周期内被窃取,就等于账户失窃
  • Session劫持就是一种通过窃取用SessionID后,使用该SessionID登录进目标账户的攻击方法
Session Fixation攻击
Session保持攻击

03 Token认证

多因素认证

因此为了增强安全性,大多数网上银行和网上支付平台都会采用双因素或多因素认证

session和token区别
  • session

Session(会话):

1.会话是在客户端和服务器之间建立的持续通信连接,用于跟踪用户在应用程序或网站上的活动状态。

2.会话通常由服务器创建,并与特定用户相关联。一旦建立,服务器会为用户分配一个唯一的会话标识符(通常是会话 ID),识别用户的请求。

3.会话通常在用户登录时创建,并在用户退出登录或超时一段时间后销毁。它可以存储用户的临时数据,在用户与服务器之间的多个请求之间共享。

  • token

1.令牌是一个用于身份验证和授权的凭证,通常由服务器颁发给客户端

2.令牌可以是持久的(长期有效)或短暂的(一次性)。

3.在身份验证方面,令牌通常是通过用户名和密码进行身份验证后,由服务器签发给客户端的。客户端在将来的请求中可以使用令牌来证明其身份,而无需再次提供用户名和密码。

4.在授权方面,令牌可以包含授权信息,`允许客户端访问特定资源或执行特定操作。

04 暴力破解

密码的那些事

密码是最常见的认证手段,持有正确密码的人被认为是可信的

密码的优点是使用成本低,认证过程实现起来很简单

缺点是密码认证是一种比较弱的安全方案,可能会被猜解

"密码强度"是设计密码认证方案时第一个需要考虑的问题

密码设置推荐策略
  • 密码长度方面

普通应用要求长度为6位以上

重要应用要求长度为8位以上,并考虑双因素认证

  • 密码复杂度方面

密码区分大小写字母

密码为大写字母、小写字母、数字、特殊符号中两种以上的组合

不要有连续性的字符,比如:1234abcd

尽量避免出现重复的字符,比如:1111

  • 其他

不要使用用户公开的数据或者个人隐私相关的数据作为密码

会话--Authorization

授权是授予用户可以操作的权限

目的是为了决定用户能够做什么

权限控制

权限管理方式

垂直权限管理

1.使用"最小权限原则"

2.使用"默认拒绝"的策略

3.只对有需要的主体单独配置"允许"的策略

水平权限管理

1.水平权限管理问题,至今仍然是一个难题

2.它难以发现,难以在统一框架下解决

3.很难通过扫描等自动化测试方法将这些问题全部找出

相关推荐
懒鸟一枚4 分钟前
深入理解 Linux 内存、Swap 交换分区与分页机制的关系
java·linux·数据库
玖玥拾1 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
我命由我123452 小时前
执行 Gradle 指令报错,无法将“grep”项识别为 cmdlet、函数、脚本文件或可运行程序的名称
android·java·java-ee·android studio·android jetpack·android-studio·android runtime
考虑考虑2 小时前
Sentinel安装
java·后端·微服务
一个有温度的技术博主3 小时前
【VulnHub 实战】DC-1 靶机渗透测试笔记(一):信息收集与主机发现
服务器·网络·笔记
白帽小阳3 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
凤凰院凶涛QAQ3 小时前
《Java版数据结构 & 集合类剖析》栈与队列:“push/pop 是栈的灵魂,offer/poll 是队列的骨架——四组 API,两种人生”
java·开发语言·数据结构
掘金_答案4 小时前
上线那天,一个 ConcurrentHashMap 差点送走我的 AI 客服——3 天排查 JVM 血泪史
java·后端·架构
hehelm5 小时前
Linux网络编程—TCP字典翻译系统
linux·开发语言·网络·c++·tcp/ip
猿与禅5 小时前
CosId 分布式 ID 生成器完全教程:从架构原理到生产落地
java·shardingsphere·雪花算法·分布式id·高性能·cosid·号段模式