编码员征服安全。分享与学习系列 - 认证
在这篇博客中,我们将讨论运行网站或允许员工远程访问计算机资源的组织所面临的最常见的问题之一--这几乎是所有人。是的,你可能猜到了,我们要谈的是认证。
如果黑客可以简单地以管理员的身份用有效的用户名和密码登录系统,那么就没有必要部署先进的技术来对抗网络防御。系统只是打开门,让攻击者进去。更糟糕的是,如果攻击者没有做什么太离谱的事情,他们的存在几乎不可能被发现,因为大多数防御系统会把他们看作是一个有效的用户或管理员在做他们的工作。
认证漏洞的类别相当大,但我们将讨论最常见的问题,这些问题往往被意外地植入用户的登录过程。通过加固这些漏洞,你可以从你的组织中消除绝大部分的认证问题。
在这一集里,我们将学习。
- 一些常见的认证漏洞是如何被利用的
- 为什么它们如此危险
- 可以使用什么政策和技术来消除认证漏洞。
攻击者是如何利用认证漏洞的?
有相当多的认证漏洞可能会潜入认证系统,所以黑客对每个漏洞的利用方式都有点不同。首先,让我们来看看最常见的漏洞,然后举例说明其中几个漏洞是如何被利用的。
最常见的认证漏洞包括。
- 拥有薄弱或不适当的密码政策。
- 允许无限制的登录尝试。
- 将登录失败的信息反馈给攻击者。
- 通过不安全的渠道发送凭证。
- 弱散列的密码。
- 而且有一个不安全的密码恢复过程。
拥有一个薄弱的密码政策可能是最常见的漏洞。如果允许用户在没有任何限制的情况下创建密码,那么太多的用户会使用容易猜到的密码。每年,各种计算机新闻机构都会发布一份使用最多的密码清单,"123456 "和 "密码 "总是排在前五位。还有其他的。管理员们喜欢用 "上帝",这也是相当多的。诚然,这些都是幽默或容易记住的,但也非常容易被猜到。黑客知道什么是最常见的密码,并在试图入侵系统时首先尝试它们。如果你的组织中允许使用这类密码,你最终会被攻破。
一个不太明显但仍然危险的漏洞是向用户提供关于登录失败的信息。这很糟糕,因为如果你在用户名不存在时返回一条信息,而在用户名存在但密码不好时返回另一条信息,这就使攻击者可以摸清系统中的有效用户,并专注于猜测这些用户名的密码。如果这与允许无限制猜测密码的认证漏洞相结合,它将使攻击者能够对他们发现的任何有效用户进行字典式攻击,如果密码容易猜测,这可能会使他们相当快地进入系统。
为什么认证漏洞如此危险?
美国旧西部有一个经典的故事,说的是一个偏执的自耕农在他的前门上安装了三把锁,用木板封住了他的窗户,睡觉时有很多枪在手边。到了早上,他被发现死亡。他的攻击者之所以能找到他,是因为他忘记了锁上后门。认证漏洞就很像这样。如果一个攻击者可以使用有效的用户名和密码进入你的网络,那么你有什么样的监控工具或主动控制措施,或者你雇佣了多少专家分析师,这真的不重要。
一旦进入,攻击者可以做的事情就很少有限制。只要他们在自己的用户权限范围内行动(如果他们入侵了管理员账户,那么权限就会相当广泛),他们被及时发现以防止出现严重问题的可能性就非常小。这使得认证类漏洞成为任何系统中最危险的漏洞之一。
消除认证漏洞
消除网络中的认证漏洞的最好方法之一是制定良好的、全球通用的密码策略。不仅应该限制用户,甚至是管理员,使用像 "password "这样的密码,而且应该强迫他们加入一定程度的复杂性,使攻击者应用字典或普通短语类型的攻击变得不可行。你可以根据被保护系统的重要性来制定自己的密码创建规则。这样做将使攻击者更难猜测或暴力破解密码。
你还应该限制登录失败的次数,这样,如果一个错误的密码被输入超过,比如三次,用户就会被锁定。锁定可以是暂时的,因为即使是几分钟的延迟也会阻止自动字典攻击的继续。或者它可以是永久性的,除非该账户被管理员解锁。无论哪种情况,只要发生这种锁定,就应该提醒安全人员,以便他们能够监控这种情况。
另一个防止攻击者收集信息的好方法是,每当输入一个错误的用户名或密码时,都要制作一个通用的信息。这两条信息应该是相同的,这样黑客就不会知道他们被拒绝是因为一个用户不存在还是因为密码错误。
认证漏洞是大多数系统中最常见和最危险的漏洞。但它们也相当容易发现和消除。
关于认证漏洞的更多信息
要进一步阅读,你可以看一下OWASP认证小抄。你也可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台培训网络安全团队成为终极网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊的信息,请访问Secure Code Warrior 博客。
站出来,直面Secure Code Warrior 平台中的认证漏洞。[从这里开始]
Jaap Karan Singh
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
编码员征服安全。分享与学习系列 - 认证
在这篇博客中,我们将讨论运行网站或允许员工远程访问计算机资源的组织所面临的最常见的问题之一--这几乎是所有人。是的,你可能猜到了,我们要谈的是认证。
如果黑客可以简单地以管理员的身份用有效的用户名和密码登录系统,那么就没有必要部署先进的技术来对抗网络防御。系统只是打开门,让攻击者进去。更糟糕的是,如果攻击者没有做什么太离谱的事情,他们的存在几乎不可能被发现,因为大多数防御系统会把他们看作是一个有效的用户或管理员在做他们的工作。
认证漏洞的类别相当大,但我们将讨论最常见的问题,这些问题往往被意外地植入用户的登录过程。通过加固这些漏洞,你可以从你的组织中消除绝大部分的认证问题。
在这一集里,我们将学习。
- 一些常见的认证漏洞是如何被利用的
- 为什么它们如此危险
- 可以使用什么政策和技术来消除认证漏洞。
攻击者是如何利用认证漏洞的?
有相当多的认证漏洞可能会潜入认证系统,所以黑客对每个漏洞的利用方式都有点不同。首先,让我们来看看最常见的漏洞,然后举例说明其中几个漏洞是如何被利用的。
最常见的认证漏洞包括。
- 拥有薄弱或不适当的密码政策。
- 允许无限制的登录尝试。
- 将登录失败的信息反馈给攻击者。
- 通过不安全的渠道发送凭证。
- 弱散列的密码。
- 而且有一个不安全的密码恢复过程。
拥有一个薄弱的密码政策可能是最常见的漏洞。如果允许用户在没有任何限制的情况下创建密码,那么太多的用户会使用容易猜到的密码。每年,各种计算机新闻机构都会发布一份使用最多的密码清单,"123456 "和 "密码 "总是排在前五位。还有其他的。管理员们喜欢用 "上帝",这也是相当多的。诚然,这些都是幽默或容易记住的,但也非常容易被猜到。黑客知道什么是最常见的密码,并在试图入侵系统时首先尝试它们。如果你的组织中允许使用这类密码,你最终会被攻破。
一个不太明显但仍然危险的漏洞是向用户提供关于登录失败的信息。这很糟糕,因为如果你在用户名不存在时返回一条信息,而在用户名存在但密码不好时返回另一条信息,这就使攻击者可以摸清系统中的有效用户,并专注于猜测这些用户名的密码。如果这与允许无限制猜测密码的认证漏洞相结合,它将使攻击者能够对他们发现的任何有效用户进行字典式攻击,如果密码容易猜测,这可能会使他们相当快地进入系统。
为什么认证漏洞如此危险?
美国旧西部有一个经典的故事,说的是一个偏执的自耕农在他的前门上安装了三把锁,用木板封住了他的窗户,睡觉时有很多枪在手边。到了早上,他被发现死亡。他的攻击者之所以能找到他,是因为他忘记了锁上后门。认证漏洞就很像这样。如果一个攻击者可以使用有效的用户名和密码进入你的网络,那么你有什么样的监控工具或主动控制措施,或者你雇佣了多少专家分析师,这真的不重要。
一旦进入,攻击者可以做的事情就很少有限制。只要他们在自己的用户权限范围内行动(如果他们入侵了管理员账户,那么权限就会相当广泛),他们被及时发现以防止出现严重问题的可能性就非常小。这使得认证类漏洞成为任何系统中最危险的漏洞之一。
消除认证漏洞
消除网络中的认证漏洞的最好方法之一是制定良好的、全球通用的密码策略。不仅应该限制用户,甚至是管理员,使用像 "password "这样的密码,而且应该强迫他们加入一定程度的复杂性,使攻击者应用字典或普通短语类型的攻击变得不可行。你可以根据被保护系统的重要性来制定自己的密码创建规则。这样做将使攻击者更难猜测或暴力破解密码。
你还应该限制登录失败的次数,这样,如果一个错误的密码被输入超过,比如三次,用户就会被锁定。锁定可以是暂时的,因为即使是几分钟的延迟也会阻止自动字典攻击的继续。或者它可以是永久性的,除非该账户被管理员解锁。无论哪种情况,只要发生这种锁定,就应该提醒安全人员,以便他们能够监控这种情况。
另一个防止攻击者收集信息的好方法是,每当输入一个错误的用户名或密码时,都要制作一个通用的信息。这两条信息应该是相同的,这样黑客就不会知道他们被拒绝是因为一个用户不存在还是因为密码错误。
认证漏洞是大多数系统中最常见和最危险的漏洞。但它们也相当容易发现和消除。
关于认证漏洞的更多信息
要进一步阅读,你可以看一下OWASP认证小抄。你也可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台培训网络安全团队成为终极网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊的信息,请访问Secure Code Warrior 博客。
站出来,直面Secure Code Warrior 平台中的认证漏洞。[从这里开始]
