身份认证
身份认证分为两种,对外认证和对内认证。
对外认证是单一场景的,一般就是登录注册,入口一般也是一个。登录之后,你就知道你是一个普通账号还是一个管理员账号。 对外认证一般是面向应用的。
对内认证是多场景的,是公司内部各种系统的登录认证,想服务器的登录,数据库登录,git登录,内部管理后台等等。
攻击身份认证
1.没有认证
很多对内认证的场景种,存在很多把各种系统无认证的暴露在外网的。包括什么各种数据库,接口,管理后台等等,不需要登录,找到了入口就可以进行操作。 像以前爆发的ES接口外网随便接入等等。
要挖掘这种漏洞,主要是做侦察,找到各种入口。
2. 弱密码
弱密码也是一个非常普遍的问题。大部分用户的密码都非常的弱,好记的强密码并不多。
要挖掘这种漏洞,主要是有一个好的用户名密码字典。当然,很多系统是对自动登录有一些防御措施的,包括各种验证码,还有限制次数等等,这些都是可以绕过的。 这个后面再聊。
3. 信息泄露
认证信息泄露这个事情,非常的常见。很多信息都是通过,钓鱼,拖库,人肉猜测的。还有就是可以偷身份的凭证,像cookie,sessionid等等,然后进行重放攻击。
要挖掘这种漏洞,其实就是要去寻找泄露的信息。注意,很多厂商是不接受社会工程这种漏洞的。我们可以尝试的,比如敏感信息监控等等,前几天写的漏洞挖掘365天挑战——Day007: Github扫描 也是一种。
偷取登录凭证,这是XSS等漏洞的利用,这个后面继续聊。
4.新的攻击方式
为了防止上面的一些攻击手段,很多防御的手段也出现了。这里面就有SSO.
SSO一般有CAS,JWT,OAuth和OpenID等,这些单点登录的方案,都是值得研究的。企业在使用的时候,可能会出现问题,多多注意。
还有一些新的认证手段可以用来认证,包括人脸识别,声纹识别和指纹识别等等。这些AI相关的认证,其实也可以攻击,也有很多团队在研究。
人脸识别的对抗攻击是一个很大的话题,后面再来说, 声纹识别,我以前写过几篇文章,会列在资源中供参考,指纹识别,现在主要是复制指纹的问题,也有文章可以参考。
Pxiaoer's Blog 
[…] Day012: 身份认证 […]
赞赞