密码和其他验证方法可能保护不了你的数据。良好的安全系统可以基于用户和访问策略，对每个访问请求进行评估，包括准许或者拒绝策略。名为验证绕路的攻击可以允许避免这种类型的验证检查或者，在有些情况下，整个安全子系统。很多攻击都发生在网络上，由于系统的设计或者实行上的错误而发生的。验证绕路攻击有很多形式，但是几乎所有的都不可避免。

　　“根”原因

　　引起验证绕路的系统漏洞通常表现出两个问题:列举并执行访问策略上的失败或者允许正当身分伪造的脆弱的验证系统。在前一种情况下，任何一种网络访问控制系统都没有列出受到攻击的应用或者Web的全部URL，或者访问控制系统不能扩展到需要保护的网站的部分。

　　例如，在新的受保护的Web应用的根文件中，存在可以使用的受保护或者不受保护的应用得共享文件。根文件还包括数据库连接脚本或者其他含有敏感数据的文件。验证绕路攻击的目标是受保护应用使用的文件。攻击者在不受保护的文件中寻找系统信息，并策划出绕过认证系统的策略。很多默认应用和Web服务器软件带有这些不受保护的默认文件夹或者应用。

　　而且，管理员经常不能在安全策略中包含共享资源目录或者文件。随着Web服务器新内容、应用和文件夹的增长，利于攻击的泄漏信息的风险也会增长。

　　受保护网络的文件夹在整个架构中可能缺少保护。例如，应用的主要文件夹是受保护的，但是以后的文件夹就没有保护了。

　　这些攻击可以通过创建简单的电子信息表信息管理模式而转移。在一栏中列出了所有的文件和对象。列出了许可、安全策略或者可以在其他栏中访问的许可用户。然后测试每个新的Web对话中的对象，确保没有合适对话的访问被拒绝。大部分工程师不会执行这种分析并在发布前测试他们的系统，因此，数据或者应用偶尔会对攻击开放。
 
　　直接攻击

　　另一种类型的认证绕路包括在认证或者授权系统上的直接攻击。很多网站使用脚本和后门数据库，决定验证或者授权。但是，这些系统的设计和执行都是有问题的。有些Web格式的系统在客户端浏览器脚本或者通过经过浏览器的参数进行信任状检查。对这些系统的攻击通常牵涉到包含在对Web格式或者经过浏览器的参数的值的操作。有些攻击简单到只须把基本的真假参数发送到服务器。
 
　　例如，/webapps/login？validUser=yes&isAutheticated=yes可以手动输入到对绕过应用服务器的验证机制的企图中去。

　　可以通过不在URL或者客户端脚本中暴露验证状态比秒这种类型的攻击。

　　输入突袭

　　更多复杂的攻击包括直接在Web服务器软件或者数据库中输入SQL和其他命令。这样攻击者可以访问合法的用户对话。在成功验证用户后，很多Web应用授予用户cookie或者令牌，在访问时提交给应用。令牌经常和服务器端对话ID相关，或者，在有些情况下，cookie就是对话ID。应用进行简单的逻辑操作，决定对话ID或者令牌是否合法，或者在已知的对话列表中。

　　这可以使用强大的加密cookie或者任何对话ID进行防御，这使得伪造更加困难。还有，确认所有用户在客户端的输入可以防御对后续对话的访问。

　　模仿渗透

　　很多高级的攻击通过窃取合法对话ID或者cookie，而绕过验证系统。攻击可以重放这些cookie或者对话ID来模仿合法用户。很多人错误地把这些攻击看作是人在中间的攻击或者对话劫持攻击。但是，重放cookie或者对话ID就是验证绕路攻击，因为它绕过调解对应用访问的子系统，使直接饮用访问成为可能。为了防御这种攻击，需要通过加密信道传输所有对话和cookie数据。