第4章
利用驗證機制漏洞入侵Web及防范技術

驗證機制是Web應用程序針對來訪者最基本的安全機制，用來確定用戶的真實身份。常見的驗證方式有基于表單的驗證，口令卡或者硬件key，或者SSL證書等，但大多數Web應用程序基于用戶體驗考慮均采用最簡單的用戶名與密碼的方式，并且還需要用戶的部分參與，而用戶自身的安全意識就決定了本身的缺陷，如用戶可能使用比較短的密碼、常見的單詞或者生日等。攻擊者可能通過字典進行暴力破解，通過社工進行密碼猜解。大多數用戶均喜歡一個密碼多用，這將會導致安全邊界向外延伸。在具體的對抗中，Web應用程序將會添加手機綁定、郵箱綁定、密碼長度檢測、密碼問題找回等策略來補充，實際上只是增加了用戶名被破解的難度。當然，在一些具體的策略中，會有相互沖突的時候，如攻擊者在修改綁定手機時，應該向舊手機號碼和新手機號碼同時發送密碼修改信息等。本章將通過對驗證機制的深度剖析使讀者了解利用驗證機制漏洞入侵Web，以及掌握防范技術。