應(yīng)用程序中的身份驗證機制

2022-06-06    分類: 網(wǎng)站建設(shè)

今天,絕大多數(shù)數(shù)重慶網(wǎng)站制作Web應(yīng)用程序都采用傳統(tǒng)的身份驗證機制模型,即要求用戶提交用戶名與密碼,再由應(yīng)用程序?qū)ζ溥M行核實,確認其合法性。身份驗證機制是當今應(yīng)用程序處理用戶訪問的最基本的機制。
驗證用戶是指確定用戶的真實身份,如果不采用這個機制,應(yīng)用程序會將所有作為匿名用戶對待,這是最低一級的信任。
在安全性至關(guān)重要的今天,應(yīng)用程序中,通常使用軀體證書與多階段登陸過程強化這個傳統(tǒng)原始的基本模型,比如,電子銀行使用的應(yīng)用程序,在安全更高的情況下,可能需要基于客戶端證書、智能卡或質(zhì)詢-響應(yīng)令牌使用身份驗證模型。
常見的問題可能使用攻擊者能夠確定其他用戶名、推測出他們的密碼,或利用其邏輯缺陷完全避開登陸功能。身份驗證機制除了核心登陸過程外,身份驗證機制往往還要采取一系列的支持功能,如自我密碼保護。自我回答問題,賬戶恢復,手機綁定或修改工具等。盡管表面看似簡單,但是無論設(shè)計方面還是執(zhí)行方面,身份驗證都可能存在大量的缺陷。
出人意料,這種功能中存在的缺陷往往允許攻擊者非法訪問敏感數(shù)據(jù)與功能,攻擊Web應(yīng)用程序是,滲透測試員應(yīng)當投入更大的精力,攻擊應(yīng)用程序采用各種與身份證相關(guān)的功能。

文章名稱:應(yīng)用程序中的身份驗證機制
文章轉(zhuǎn)載:http://www.muchs.cn/news48/164248.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信公眾號用戶體驗、全網(wǎng)營銷推廣、ChatGPT、小程序開發(fā)企業(yè)建站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站