很多古老的程序都存在一个普遍的问题——身份认证问题。如果有以下行为之一,就有可能存在这个问题。1、允许弱密码(password 123456 admin)2、使用明文、加密或弱哈希管理密码3、允许暴力破解、自动攻击4、使用非安全连接进行认证5、使用 GET 请求进行认证6、不正确的失效策略关于身份认证可以先从客户端说起。传统 Web 登录方式中,都会默认隐藏用户输入的密码,但是除此之外,应该默认禁...
2017-2-17·弃如弁髦
在应用程序安全性中,如果不处理用户输入及其相关数据,可能会带来安全风险。而注入是使用最广泛,以及最古老和非常危险的漏洞之一,在 OWASP Top 10 从 2010 开始一直到现在都是第一,还是挺有趣的。注入是将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期...
2017-2-15·弃如弁髦