今天,绝大多数数
重庆网站制作Web应用程序都采用传统的身份验证机制模型,即要求用户提交用户名与密码,再由应用程序对其进行核实,确认其合法性。身份验证机制是当今应用程序处理用户访问的最基本的机制。
验证用户是指确定用户的真实身份,如果不采用这个机制,应用程序会将所有作为匿名用户对待,这是最低一级的信任。
在安全性至关重要的今天,应用程序中,通常使用躯体证书与多阶段登陆过程强化这个传统原始的基本模型,比如,电子银行使用的应用程序,在安全更高的情况下,可能需要基于客户端证书、智能卡或质询-响应令牌使用身份验证模型。
常见的问题可能使用攻击者能够确定其他用户名、推测出他们的密码,或利用其逻辑缺陷完全避开登陆功能。身份验证机制除了核心登陆过程外,身份验证机制往往还要采取一系列的支持功能,如自我密码保护。自我回答问题,账户恢复,手机绑定或修改工具等。尽管表面看似简单,但是无论设计方面还是执行方面,身份验证都可能存在大量的缺陷。
出人意料,这种功能中存在的缺陷往往允许攻击者非法访问敏感数据与功能,攻击Web应用程序是,渗透测试员应当投入更大的精力,攻击应用程序采用各种与身份证相关的功能。
文章名称:应用程序中的身份验证机制
文章转载:https://www.cdcxhl.com/news48/164248.html
成都网站建设公司_创新互联,为您提供微信公众号、用户体验、全网营销推广、ChatGPT、小程序开发、企业建站
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联