密码和其他验证方法可能保护不了你的数据。良好的安全系统可以基于用户和访问策略,对每个访问请求进行评估,包括准许或者拒绝策略。名为验证绕路的攻击可以允许避免这种类型的验证检查或者,在有些情况下,整个安全子系统。很多攻击都发生在网络上,由于系统的设计或者实行上的错误而发生的。
验证绕路攻击有很多形式,但是几乎所有的都不可避免。 “根”原因 引起验证绕路的系统漏洞通常表现出两个问题:列举并执行访问策略上的失败或者允许正当身分伪造的脆弱的验证系统。在前一种情况下,任何一种网络访问控制系统都没有列出受到攻击的应用或者Web的全部URL,或者访问控制系统不能扩展到需要保护的网站的部分。 例如,在……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
密码和其他验证方法可能保护不了你的数据。良好的安全系统可以基于用户和访问策略,对每个访问请求进行评估,包括准许或者拒绝策略。名为验证绕路的攻击可以允许避免这种类型的验证检查或者,在有些情况下,整个安全子系统。很多攻击都发生在网络上,由于系统的设计或者实行上的错误而发生的。验证绕路攻击有很多形式,但是几乎所有的都不可避免。
“根”原因
引起验证绕路的系统漏洞通常表现出两个问题:列举并执行访问策略上的失败或者允许正当身分伪造的脆弱的验证系统。在前一种情况下,任何一种网络访问控制系统都没有列出受到攻击的应用或者Web的全部URL,或者访问控制系统不能扩展到需要保护的网站的部分。
例如,在新的受保护的Web应用的根文件中,存在可以使用的受保护或者不受保护的应用得共享文件。根文件还包括数据库连接脚本或者其他含有敏感数据的文件。验证绕路攻击的目标是受保护应用使用的文件。攻击者在不受保护的文件中寻找系统信息,并策划出绕过认证系统的策略。很多默认应用和Web服务器软件带有这些不受保护的默认文件夹或者应用。
而且,管理员经常不能在安全策略中包含共享资源目录或者文件。随着Web服务器新内容、应用和文件夹的增长,利于攻击的泄漏信息的风险也会增长。
受保护网络的文件夹在整个架构中可能缺少保护。例如,应用的主要文件夹是受保护的,但是以后的文件夹就没有保护了。
这些攻击可以通过创建简单的电子信息表信息管理模式而转移。在一栏中列出了所有的文件和对象。列出了许可、安全策略或者可以在其他栏中访问的许可用户。然后测试每个新的Web对话中的对象,确保没有合适对话的访问被拒绝。大部分工程师不会执行这种分析并在发布前测试他们的系统,因此,数据或者应用偶尔会对攻击开放。
直接攻击
另一种类型的认证绕路包括在认证或者授权系统上的直接攻击。很多网站使用脚本和后门数据库,决定验证或者授权。但是,这些系统的设计和执行都是有问题的。有些Web格式的系统在客户端浏览器脚本或者通过经过浏览器的参数进行信任状检查。对这些系统的攻击通常牵涉到包含在对Web格式或者经过浏览器的参数的值的操作。有些攻击简单到只须把基本的真假参数发送到服务器。
例如,/webapps/login?validUser=yes&isAutheticated=yes可以手动输入到对绕过应用服务器的验证机制的企图中去。
可以通过不在URL或者客户端脚本中暴露验证状态比秒这种类型的攻击。
输入突袭
更多复杂的攻击包括直接在Web服务器软件或者数据库中输入SQL和其他命令。这样攻击者可以访问合法的用户对话。在成功验证用户后,很多Web应用授予用户cookie或者令牌,在访问时提交给应用。令牌经常和服务器端对话ID相关,或者,在有些情况下,cookie就是对话ID。应用进行简单的逻辑操作,决定对话ID或者令牌是否合法,或者在已知的对话列表中。
这可以使用强大的加密cookie或者任何对话ID进行防御,这使得伪造更加困难。还有,确认所有用户在客户端的输入可以防御对后续对话的访问。
模仿渗透
很多高级的攻击通过窃取合法对话ID或者cookie,而绕过验证系统。攻击可以重放这些cookie或者对话ID来模仿合法用户。很多人错误地把这些攻击看作是人在中间的攻击或者对话劫持攻击。但是,重放cookie或者对话ID就是验证绕路攻击,因为它绕过调解对应用访问的子系统,使直接饮用访问成为可能。为了防御这种攻击,需要通过加密信道传输所有对话和cookie数据。
作者
翻译
相关推荐
-
RSAC 2017:小组讨论话题涵盖加密趋势、选举等
每年在RSA大会开幕演讲后,世界顶级密码学家都会齐聚舞台上分享他们对加密趋势的看法以及意见。今年,这个小组讨论会连续第四次由Rambus公司加密研究分支总裁Paul Kocher主持……
-
云电视:高科技背后的安全忧虑
智能电器通常和电脑以及手机等使用相同的的操作系统和应用,如果需要保护,那么电脑和手机等设备上的安全措施也适用于云电视等智能电器。
-
如何部署用户账户安全来阻止密码恢复攻击(二)
无论企业使用多么强大的密码,只要企业的密码重置程序很薄弱,攻击者都能够通过获取用户的个人详细信息。
-
视频讲座:如何防止关键数据泄露
任何事情的发生都可能导致数据的泄漏,例如有针对性的攻击,丢失的移动终端,或者是错误配置的网络安全设备。