第4章
利用验证机制漏洞入侵Web及防范技术

验证机制是Web应用程序针对来访者最基本的安全机制，用来确定用户的真实身份。常见的验证方式有基于表单的验证，口令卡或者硬件key，或者SSL证书等，但大多数Web应用程序基于用户体验考虑均采用最简单的用户名与密码的方式，并且还需要用户的部分参与，而用户自身的安全意识就决定了本身的缺陷，如用户可能使用比较短的密码、常见的单词或者生日等。攻击者可能通过字典进行暴力破解，通过社工进行密码猜解。大多数用户均喜欢一个密码多用，这将会导致安全边界向外延伸。在具体的对抗中，Web应用程序将会添加手机绑定、邮箱绑定、密码长度检测、密码问题找回等策略来补充，实际上只是增加了用户名被破解的难度。当然，在一些具体的策略中，会有相互冲突的时候，如攻击者在修改绑定手机时，应该向旧手机号码和新手机号码同时发送密码修改信息等。本章将通过对验证机制的深度剖析使读者了解利用验证机制漏洞入侵Web，以及掌握防范技术。