浅析网站失效的认证和会话管理精选.docVIP

浅析网站失效的认证和会话管理 来源：开发界 　　在一般情况下，Web开发人员在开发过程中是留意常规的Web安全漏洞的。但也有一些危险和鲜为人知的漏洞广泛存在于Web应用程序中。大多数开发人员针对这些漏洞不做任何考虑，使得Web应用程序仍然处于危险中。失效的认证和会话管理就是这类漏洞之一。根据最新的OWASP TOP 10显示它位列10大Web漏洞中的第三位。这意味着它是一个高度危险的漏洞存在于互联网上的多数网站的应用程序中。 　　身份认证和会话管理 　　在进一步解释这种危险的漏洞之前，让我们了解一下身份认证和会话管理的基本知识。身份认证，最常见的是登录功能，往往是提交用户名和密码，在安全性要求更高的情况下，有防止密码暴力破解的验证码，基于客户端的证书，物理口令卡等等。会话管理，HTTP本身是无状态的，利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌，通常放在cookie中，之后对用户身份的识别根据这个授权的令牌进行识别，而不需要每次都要登陆。 　　什么是失效的身份认证和会话管理？ 　　用户身份认证和会话管理是一个应用程序中最关键的过程，有缺陷的设计会严重破坏这个过程。在开发Web应用程序时，开发人员往往只关注Web应用程序所需的功能。由于这个原因，开发人员通常会建立自定义的认证和会话管理方案。但要正确实现这些方案却很难，结果这些自定义的方案往往在如下方面存在漏洞：退出、密码管理、超时、记住我、秘密问题、帐户更新等等。因为每一个实现都不同，要找出这些漏洞有时会很困难。 　　一些存在此漏洞的例子： 　　1、用户更改密码之前不验证用户，而是依靠会话的IP地址； 　　2、没有会话超时限制； 　　3、用户忘记密码后，密码找回功能太过简单。 　　例1：应用程序超时设置不当。用户使用公共计算机访问网站。离开时，该用户没有点击退出，而是直接关闭浏览器。攻击者在一个小时后能使用相同浏览器通过身份认证。 　　例2：机票预订应用程序支持URL重写，把会话ID放在URL里：/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii 　　该网站一个经过认证的用户希望让他朋友知道这个机票打折信息。他将上面链接通过邮件发给他朋友们，并不知道自己已经泄漏了自己的会话ID。当他的朋友们使用上面的链接时，他们将会使用他的会话和信用卡。 　　例3：内部或外部攻击者进入系统的密码数据库. 存储在数据库中的用户密码没有被加密, 所有用户的密码都被攻击者获得。 　　如何验证程序是否存在失效的认证和会话管理？ 　　最需要要保护的数据是认证凭证(credentials) 和会话ID。 　　1.当存储认证凭证时，是否总是使用hashing或加密保护吗? 　　2. 认证凭证是否可猜测，或者能够通过薄弱的的帐户管理功能 　　（例如账户创建、密码修改、密码恢复, 弱会话ID）重写？ 　　3.会话ID是否暴露在URL里(例如, URL重写) ？ 　　4.会话ID是否容易受到会话固定(session fixation) 的攻击? 　　5.会话ID会超时吗? 用户能退出吗? 　　6.成功注册后,会话ID会轮转吗? 　　7. 密码、会话ID和其他认证凭据是否只通过TLS连接传输？ 　　如何防范： 　　1、区分公共区域和受限区域 　　站点的公共区域允许任何用户进行匿名访问。受限区域只能接受特定用户的访问，而且用户必须通过站点的身份验证。考虑一个典型的零售网站。您可以匿名浏览产品分类。当您向购物车中添加物品时，应用程序将使用会话标识符验证您的身份。最后，当您下订单时，即可执行安全的交易。这需要您进行登录，以便通过 SSL 验证交易。 　　将站点分割为公共访问区域和受限访问区域，可以在该站点的不同区域使用不同的身份验证和授权规则，从而限制对 SSL 的使用。使用 SSL 会导致性能下降，为了避免不必要的系统开销，在设计站点时，应该在要求验证访问的区域限制使用 SSL。 　　2、对最终用户帐户使用帐户锁定策略 　　当最终用户帐户几次登录尝试失败后，可以禁用该帐户或将事件写入日志。如果使用 Windows 验证（如 NTLM 或 Kerberos 协议），操作系统可以自动配置并应用这些策略。如果使用表单验证，则这些策略是应用程序应该完成的任务，必须在设计阶段将这些策略合并到应用程序中。 　　请注意，帐户锁定策略不能用于抵制服务攻击。例如，应该使用自定义帐户名替代已知的默认服务帐户（如 IUSR_MACHINENAME），以防止获得 Internet 信息服务 (IIS) Web 服务器名称的攻击者锁定这一重要帐户。 　　3、支持密码有效期 　　密码不应固定不变，而应作为常规密码维护的一部分，通过设置密码有