漏洞挖掘365天挑战——Day012: 身份认证

身份认证

身份认证分为两种,对外认证和对内认证。

对外认证是单一场景的,一般就是登录注册,入口一般也是一个。登录之后,你就知道你是一个普通账号还是一个管理员账号。 对外认证一般是面向应用的。

对内认证是多场景的,是公司内部各种系统的登录认证,想服务器的登录,数据库登录,git登录,内部管理后台等等。

攻击身份认证

1.没有认证

很多对内认证的场景种,存在很多把各种系统无认证的暴露在外网的。包括什么各种数据库,接口,管理后台等等,不需要登录,找到了入口就可以进行操作。 像以前爆发的ES接口外网随便接入等等。

要挖掘这种漏洞,主要是做侦察,找到各种入口。

2. 弱密码

弱密码也是一个非常普遍的问题。大部分用户的密码都非常的弱,好记的强密码并不多。

要挖掘这种漏洞,主要是有一个好的用户名密码字典。当然,很多系统是对自动登录有一些防御措施的,包括各种验证码,还有限制次数等等,这些都是可以绕过的。 这个后面再聊。

3. 信息泄露

认证信息泄露这个事情,非常的常见。很多信息都是通过,钓鱼,拖库,人肉猜测的。还有就是可以偷身份的凭证,像cookie,sessionid等等,然后进行重放攻击。

要挖掘这种漏洞,其实就是要去寻找泄露的信息。注意,很多厂商是不接受社会工程这种漏洞的。我们可以尝试的,比如敏感信息监控等等,前几天写的漏洞挖掘365天挑战——Day007: Github扫描 也是一种。

偷取登录凭证,这是XSS等漏洞的利用,这个后面继续聊。

4.新的攻击方式

为了防止上面的一些攻击手段,很多防御的手段也出现了。这里面就有SSO.

SSO一般有CAS,JWT,OAuth和OpenID等,这些单点登录的方案,都是值得研究的。企业在使用的时候,可能会出现问题,多多注意。

还有一些新的认证手段可以用来认证,包括人脸识别,声纹识别和指纹识别等等。这些AI相关的认证,其实也可以攻击,也有很多团队在研究。

人脸识别的对抗攻击是一个很大的话题,后面再来说, 声纹识别,我以前写过几篇文章,会列在资源中供参考,指纹识别,现在主要是复制指纹的问题,也有文章可以参考。

参考资源:

  1. 智能音箱的安全问题
  2. 让人脸识别失效的对抗样本生成(一)
  3. Deepfake系列——音频深度伪造(1)
  4. 研究:假指纹解锁手机通过率高达80%

漏洞挖掘365天挑战——Day012: 身份认证”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Google photo

您正在使用您的 Google 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s