高谨防cdn_云服务器谨防_怎么防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 高谨防cdn_云服务器谨防_怎么防

高谨防cdn_云服务器谨防_怎么防

小墨安全管家 2021-05-03 09:06 CC防护 89 ℃
DDoS防御
web应用程序最重要的部分之一是身份验证机制,它爱护站点的安全并为每个用户帐户创建边界。可是,在我多年测试web应用程序的过程中,发觉存在漏洞的身份验证机制仍然很常见。我目前是Veracode MPT团队的要紧渗透测试人员,我以为我测试的10个网站中有9个至少存在以下一具漏洞:弱密码策略不遵循强密码策略的网站并无数见。最近,我测试了一具应用程序,其中密码的最小长度惟独5个字符长。当开辟人员试图在安全性和可用性之间取得正确的平衡时,这种漏洞很常见。此外,允许最后来用户设置弱密码的应用程序也特别常见,例如"password"、"qwerty"或"1234567"。这些类型的密码关于攻击者来讲是众所周知的,同时总是在公司遭到破坏的数据泄漏中发觉。我看到的另一具不太常见的漏洞是不允许最后来用户在密码字段中复制和粘贴。这并不能真正提高安全性,但会妨碍安全性,因为它阻挠人们生成15个字符或更多字符的密码。当我在渗透测试中发觉如此的漏洞时,我建议如下:最少8个字符字母数字字符大小写混合禁止使用包含用户名或公司名称的密码禁止使用三个或更多相同的字符,例如aaa或111禁止三个或更多延续字符,例如abc或123假如大概,实施一具黑名单,这将阻挠最后来用户输入弱密码和一般密码。您还能够使用haveibeenpwned API来寻找泄露的密码。您能够在以下URL上找到一些示例:https://haveibeenpwned.com/API/Consumers双因素身份验证(2FA)我在web身份验证机制中经常遇到的另一具很常见的漏洞是缺乏额外的安全措施。特别少有开辟人员实现双因素身份验证,非常是在高特权帐户上。实现2FA技术的想法有特别多种,包括RSA令牌、代码生成器(如googleauthenticator)以及一次性代码的Duo和SMS文本消息。实现2FA也会带来很多挑战,防DDoS,非常是当"一般"用户和"特权"用户都使用相同的身份验证机制登录到应用程序时。尽管我建议在实际可行的事情下使用双因素身份验证,然而特别难全面地为特权角色提议。由于没有行业标准可用于将治理和非治理功能混合在一起的应用程序,所以大概需要更广泛的设计分析。将治理功能(如用户帐户治理)分离到具有更强身份验证方案的彻底独立的应用程序是一具特别好的目标。用户枚举此漏洞通常是最快和最容易预防的漏洞之一。这要紧是由于错误消息被反馈给最后来用户。假如无效用户试图举行身份验证,则返回的错误将与提供给有效用户的错误不同。无效用户大概会显示错误"account not found"。所以,更改错误消息将解决此漏洞的10次中的9次。在需要用户名的web应用程序中,经常会发觉此类漏洞,例如登录页面、不记得密码、注册等。解决用户枚举漏洞的一具好想法是确保返回给最后来用户的任何信息基本上通用的。例如,"假如您的帐户在我们的系统中被找到,您将特别快收到一封电子邮件。"可是,这大概是一具有些棘手的实如今用户注册页面。在这种事情下,CC防御,最好为新帐户提供一具随机用户名。解析帐户注册时的用户枚举有些艰难。验证码应该在页面上实现,同时必须在可以"提交"表单之前正确填写。尽管这并不能彻底阻挠收获,但它真的可以击败自动攻击,并将探测限制为仅限于手动分析。另一种想法是分配用户名,而不是让用户挑选用户名。密码断开重置这并不是特别常见,然而我经常测试一具以糟糕的方式实现了那个功能的web应用程序。这通常出如今用于重置的令牌中,要么特别弱,DDoS防御,要么经过电子邮件将密码发送给最后来用户。很多开辟人员常犯的一具错误是以为base64编码与加密相同。所以,他们有时使用这种想法对敏感数据举行编码。在密码重置功能中,我看到了使用base64编码的电子邮件地址重置密码的令牌。经过解码并添加另一具电子邮件地址,只要帐户有效,就能够更改最后来用户的密码。另一具阻碍密码重置的漏洞是将明文密码发送回最后来用户。这有特别多缘由,DDoS防御,包括密码是经过电子邮件发送的,这被以为是不安全的。这大概表示密码存储在数据库中,没有举行适当的盐析和散列,或者是可逆格式,如base64如今这种事情不太常见了,因为大多数框架都有通过测试的内置函数。然而,经常会遇到开辟人员编写自个儿的函数来实现密码重置功能。我建议假如您使用的是一具框架,这么就使用该框架中的功能。我还建议使用salt和强哈希算法以安全的方式存储所有密码。暴力攻击针对身份验证页的常见攻击是暴力攻击。暴力攻击是指攻击者尝试多个用户名和密码,直到他们获得对有效帐户的访咨询权限。假如应用程序具实用户枚举或弱密码策略,则更容易执行此类攻击。有很多免费工具能够关心攻击者执行此类攻击,并使其相对容易执行。我建议您跟踪用户登录失败的次数,并将帐户标记为锁定。当延续不成功的登录尝试次数达到合理的阈值(通常是延续三到五次失败的尝试)时,要求用户经过不记得密码的过程来删除其帐户上的锁。先看看这些正如博客标题中所定义的,这些是我在web应用程序渗透测试中发觉的最常见的身份验证漏洞。还有很多其他漏洞会阻碍web应用程序身份验证系统,但这些漏洞在我的经验中并不常见。建议web开辟人员在举行渗透测试之前寻找并解决这些常见咨询题。在大多数事情下,这些类型的咨询题特别容易解决,经过如此做,测试人员能够将时刻花在更复杂的漏洞上。在我们的网站上了解更多对于手动渗透测试的信息。


DDoS防御

当前位置:主页 > CC防护 > 高谨防cdn_云服务器谨防_怎么防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119