【安全测试】4_用户认证安全测试 _认证与会话、暴力破解、权限控制

一、认证与会话管理

认证(Authentication)

• 认证实际上就是一个验证凭证的过程
• 目的是为了认出用户是谁

授权(Authorization)

• 授权是授予用户可以操作的权限
• 目的是为了决定用户能够

1.1 密码

• 密码是最常见的认证手段，持有正确密码的人被认为是可信的
• 密码的优点是使用成本低，认证过程实现起来简单
• 缺点是密码认证是一种比较弱的安全方案，可能会被猜解
• “密码强度”是设计密码认证方案时第一个需要考虑的问题
  • 密码长度
  • 密码复杂度
  • 密码有限周期、历史密码记录

最常见的认证方式就是用户名与密码 提示：在密码强度的选择上，每个网站都有自己的策略，目前并没有一个标准的密码策略!

1.2 Session认证

1.3 Token认证

1.4 多因素认证

• 对于很多重要的系统来说，如果只有密码作为唯一的认证手段，从安主上看略显不足。
• 因此为了增强安全性，大多数网上银行和网上支付平台都会采用双因素或多因素认证。

常见认证因素： 1、支付密码 2、手机动态口令 3、数字证书 4、支付盾

二、暴力破解

暴力破解：是指黑客利用密码字典，使用穷举法猜解出用户密码。

• 暴力破解是现在最为广泛使用的攻击手法之一
• 为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作

- 理论上来说，大多数系统都是可以被暴力破解的，只要攻击者有足够强大的计算能力和时间，所以断定一个系统是否存在暴力破解漏洞，其条件也不是绝对的。 - 一个系统存在暴力破解漏洞，一般是指该系统没有采用或者采用了比较弱的认证安全策略，导致其被暴力破解的“可能性”变的比较高

如何提高暴力破解难度?

• 要求用户设置复杂的密码
• 认证时加入验证码校验
• 对尝试登录的行为进行判断和限制（如:连续输入3次错误密码，进行账号锁定或IP地址锁定等）

三、权限控制

权限控制：某个主体对某个客体实施某种操作，而系统对这种操作的限制就是权限控制，也称为访问控制。

权限管理方式：1.垂直权限管理 2.水平权限管理

3.1 垂直权限管理

3.2 水平权限管理

• 相对于垂直权限管理来说，水平权限问题出现在同一个角色上。
• 系统只验证了能访问数据的角色，然而没有对角色内的用户做细分，也没有对数据的子集做细分
• 缺乏一个用户到数据之间的对应关系。（如：只看服务员，不管服务员里面是否有张三、李四、王五···）

注意事项： - 水平权限管理问题，至今仍然是一个难题 - 它难以发现，难以在统一框架下解决 - 很难通过扫描等自动化测试方法将这些问题全部找出