深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广的互联网应用服务公司
首页 > 行业新闻 > 应用程序中的身份验证机制
Industry News 行业新闻
应用程序中的身份验证机制
发布时间:2014/6/10 22:50:37  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司
今天,绝大多数数深圳网站制作Web应用程序都采用传统的身份验证机制模型,即要求用户提交用户名与密码,再由应用程序对其进行核实,确认其合法性。身份验证机制是当今应用程序处理用户访问的最基本的机制。
验证用户是指确定用户的真实身份,如果不采用这个机制,应用程序会将所有作为匿名用户对待,这是最低一级的信任。
在安全性至关重要的今天,应用程序中,通常使用躯体证书与多阶段登陆过程强化这个传统原始的基本模型,比如,电子银行使用的应用程序,在安全更高的情况下,可能需要基于客户端证书、智能卡或质询-响应令牌使用身份验证模型。
常见的问题可能使用攻击者能够确定其他用户名、推测出他们的密码,或利用其逻辑缺陷完全避开登陆功能。身份验证机制除了核心登陆过程外,身份验证机制往往还要采取一系列的支持功能,如自我密码保护。自我回答问题,账户恢复,手机绑定或修改工具等。尽管表面看似简单,但是无论设计方面还是执行方面,身份验证都可能存在大量的缺陷。
出人意料,这种功能中存在的缺陷往往允许攻击者非法访问敏感数据与功能,攻击Web应用程序是,渗透测试员应当投入更大的精力,攻击应用程序采用各种与身份证相关的功能。
咨询热线:0755-21053063   18926503767   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2020 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息