白帽子讲Web安全(六)认证与会话管理

最新推荐文章于 2023-10-28 11:36:37 发布
最新推荐文章于 2023-10-28 11:36:37 发布
阅读量365 收藏 1
点赞数
分类专栏: 白帽子讲Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39157582/article/details/108588551
版权
本文详细探讨了Web安全中的认证与会话管理,包括单因素和多因素认证、密码的安全存储、Session与认证的关系、Session Fixation攻击及其防范、Session保持攻击的处理以及单点登录(SSO)的概念。强调了正确处理SessionID和防止Session劫持的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

认证与会话管理

1、我是谁

认证是为了认出用户是谁,授权是为了决定用户能做什么。

如果只有一个凭证被用于认证,则称为 “ 单因素认证 ” ;如果有两个或多个凭证被用于认证,则称为 “ 双因素认证 ” 或 ” 多因素认证 “。

2、密码的那些事

(1)一般来说,密码必须以不可逆的加密算法,或者是单向散列函数算法,加密后存储在数据库中。

(2)目前业界比较普遍的做法——在用户注册的时候就已经将密码哈希后保存在数据库中,登陆时验证密码的过程仅仅是验证用户提交的 ” 密码 “ 哈希值,与保存在数据库中的 ” 密码 “ 哈希值是否一致。

(3)为避免密码哈希值泄露,黑客通过彩虹表查询出密码明文,在计算密码明文的哈希值时,增加一个 ” Salt “ 。Salt的使用如下:

MD5(Username+Password+Salt)

Salt应该保存在服务器端的配置文件中。

3、多因素认证

除了密码之外,可增加多因素认证,比如手机动态口令,数字证书,第三方证书等。

4、Session与认证

在用户登录完成时,在服务器端就会创建一个新的会话(Session),会话中会保存用户的状态和相关信息。

为了告诉服务器应该使用哪一个Session,浏览器需要把当前用户持有的Sessio

最低0.47元/天 解锁文章
信息安全技术(测试身份验证和会话管理
m0_74164189的博客
06-26 315
会话管理测试:测试应用程序中的会话管理功能是否安全。测试会话ID的安全性,包括会话ID的随机性、长度和容易被猜测到的风险等。认证测试:测试登录页面的安全性,包括密码复杂度和强制重置密码的功能。测试不同用户角色的权限分配是否准确,并测试是否存在绕过权限控制的风险。测试是否存在未经授权的密码重置,以及是否存在安全漏洞,如密码重置令牌被劫持等。安全培训和意识教育:通过对员工进行安全培训和意识教育,提高员工对信息安全的重视程度和安全意识,减少安全事故的发生。退出测试:测试应用程序的退出功能是否安全
白帽子web安全》笔记之认证授权那些事
sum_rain的专栏
07-05 1481
首先从英文单词上看,认证为Authentication,而授权是
白帽子Web安全(第 9 章 认证会话管理
sports-boy的博客
08-10 345
第 9 章 认证会话管理认证”是最容易理解的一种安全。如果一个系统缺乏认证手段,明眼人都能看出来这是“不安全”的。最常见的认证方式就是用户名密码,但认证的手段却远远不止于此。 9.1 Who am I ? 很多时候,人们会把“认证”和“授权”两个概念搞混,甚至有些安全工程师也是如此。实际上“认证”和“授权”是两件事情,认证的英文是 Authentication ,授权则是 Authorization 。分清楚这两个概念其实很简单,只需要记住下面这个事实: 认证的目的是为了认出用户是谁,而授权的母的是
Web安全认证会话管理
RexHa的博客
12-14 1239
Web开发中,网站访问量如果比较大,维护Session可能会给网站带来巨大负担。因此,有一种做法,就是服务器端不维护Session,把Session放在Cookie中加密保存。当浏览器访问网站时,会自动带上Cookie,服务器端只需要解密Cookie即可得到当前用户的Session。
认证会话管理
谢公子的博客
10-11 1762
目录 认证授权 我的谁(Who am I)? 单点登录(SSO) 我能干啥(What Can I Do)? 垂直权限管理 水平权限管理 认证授权 认证授权是应用中最重要的两个功能点。 认证(Authentication)的目的是为了认出用户是谁,而授权(Authorization)的目的是为了决定用户能够做什么。 认证实际上就是一个验证凭证的过程,根据凭证的多少,认证可分...
白帽子web安全 完整版
03-12
白帽子Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁及防御策略。随着互联网技术的不断发展,Web应用已经成为日常生活和工作中不可或缺的一部分,...
白帽子Web安全》.pdf
02-03
但是根据标题《白帽子Web安全》和描述,可以推断出该文档主要是关于Web安全的深入分析和实际解决方案的介绍。 知识点如下: 1. Web安全基础:Web安全是信息安全领域的一个重要分支,涉及到互联网上的数据保护和...
白帽子web安全_WEB安全_
09-29
白帽子Web安全》是一本深入探讨网络安全,特别是针对Web应用安全的专业书籍。在互联网高速发展的今天,数据安全和个人隐私的重要性不言而喻。Web安全不仅关乎企业信息安全,也直接影响到每一个网络用户的日常...
白帽子Web安全
04-26
由于提供的文件信息中,【标题】【描述】内容完全一致,且【部分内容】重复且未提供实际内容,我将从通用的web安全角度出发,结合标题“白帽子Web安全”,深入探讨一些关键知识点。 web安全是一个涵盖广泛的...
Web安全会话管理
05-19
一个公司的网站规划草案, 其中涉及的安全会话管理知识令人读后获益匪浅。 相信我,如果你正在规划建立一个网站, 一定应该认真读读。
白帽子Web安全》| 学习笔记之认证会话管理
qq_42646885的博客
07-11 251
第9章认证会话管理 1、Who am I? 认证的目的是为了认出用户是谁,而授权的目的是为了决定用户能够做些什么。 认证实际上就是一个验证凭证的过程。 2、密码的那些事 密码必须以不可逆的加密算法,或者是单向散列函数算法,加密后存储在数据库中。 目前业界普遍密码加密方法是:将明文经过哈希后(比如MD5或者SHA-1)在保存到数据库。 目前黑客们广泛使用的一种破解MD5后密码的方法...
公司项目重构-Web安全-认证会话管理
vrain的博客
04-27 395
目录1、背景介绍2、安全风险认证过程攻击认证后的Session攻击3、防范手段一、在用户密码方面1、校验密码强度(重要)2、不可逆的加密算法(重要)3、多因素认证(看业务场景)4、认证的超频限制(重要)二、在会话管理方面1、会话cookie一定要设置HttpOnly(重要)2、用户客户端发生改变时,强制重新登录 (重要)3、踢下线功能,每个用户只允许一个session(重要) 如时间有限,可直接阅...
信息安全架构技术关注点-认证会话管理
jiangbb8686的博客
10-21 301
认证会话管理 建立用户账号,用户标识为唯一。 至少通过密码的身份鉴别技术,密码需强制具备一定的长度、复杂度,采用加密(加盐)保存,密码需强制定期修改。 禁止用户重新注册。 专用的登录模块对用户身份进行校验;通过证书登录;限制登录失败次数;登录超时限制。 单因素认证 强密码规则及校验 密码存储采用不可逆的加密算法(MD5、SHA-1)+ S alt,使用方法如MD5(username...
认证会话
大鹏展翅
06-21 857
认证的目的是为了认出用户是谁,而授权的
Web渗透测试-测试身份验证和会话管理
最新发布
hst12300的博客
10-28 300
用户名枚举是指对用户名进行系统化的分类和列举。在许多网站和应用程序中,用户需要选择一个唯一的用户名作为其身份标识。为了帮助用户选择合适的用户名,许多平台提供了用户名枚举功能,列出了一系列常见的用户名选项供用户选择。通过用户名枚举,用户可以避免使用其他用户重复的用户名,增加账户的安全性和唯一性。用户名枚举通常基于一些常见的命名规则和词汇,以及平台特定的限制和要求。例如,常见的用户名枚举选项可能包括以数字结尾的用户名、以姓氏或昵称作为前缀的用户名、以特定关键词或主题相关的用户名等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值