今天,绝大多数数
深圳网站制作Web应用程序都采用传统的身份验证机制模型,即要求用户提交用户名与密码,再由应用程序对其进行核实,确认其合法性。身份验证机制是当今应用程序处理用户访问的最基本的机制。
验证用户是指确定用户的真实身份,如果不采用这个机制,应用程序会将所有作为匿名用户对待,这是最低一级的信任。
在安全性至关重要的今天,应用程序中,通常使用躯体证书与多阶段登陆过程强化这个传统原始的基本模型,比如,电子银行使用的应用程序,在安全更高的情况下,可能需要基于客户端证书、智能卡或质询-响应令牌使用身份验证模型。
常见的问题可能使用攻击者能够确定其他用户名、推测出他们的密码,或利用其逻辑缺陷完全避开登陆功能。身份验证机制除了核心登陆过程外,身份验证机制往往还要采取一系列的支持功能,如自我密码保护。自我回答问题,账户恢复,手机绑定或修改工具等。尽管表面看似简单,但是无论设计方面还是执行方面,身份验证都可能存在大量的缺陷。
出人意料,这种功能中存在的缺陷往往允许攻击者非法访问敏感数据与功能,攻击Web应用程序是,渗透测试员应当投入更大的精力,攻击应用程序采用各种与身份证相关的功能。