广西网站建设智能优化,linux wordpress 下载,wordpress企业网站教程,做废品推广哪个网站好文章目录一、认证与会话管理1.1 密码1.2 Session认证1.3 Token认证1.4 多因素认证二、暴力破解三、权限控制3.1 垂直权限管理3.2 水平权限管理一、认证与会话管理 认证(Authentication) 认证实际上就是一个验证凭证的过程目的是为了认出用户是谁 授权(Authorization) 授权是…文章目录一、认证与会话管理1.1 密码1.2 Session认证1.3 Token认证1.4 多因素认证二、暴力破解三、权限控制3.1 垂直权限管理3.2 水平权限管理一、认证与会话管理认证(Authentication)认证实际上就是一个验证凭证的过程目的是为了认出用户是谁授权(Authorization)授权是授予用户可以操作的权限目的是为了决定用户能够1.1 密码密码是最常见的认证手段持有正确密码的人被认为是可信的密码的优点是使用成本低认证过程实现起来简单缺点是密码认证是一种比较弱的安全方案可能会被猜解“密码强度”是设计密码认证方案时第一个需要考虑的问题密码长度密码复杂度密码有限周期、历史密码记录最常见的认证方式就是用户名与密码 提示在密码强度的选择上每个网站都有自己的策略目前并没有一个标准的密码策略!1.2 Session认证1.3 Token认证1.4 多因素认证对于很多重要的系统来说如果只有密码作为唯一的认证手段从安主上看略显不足。因此为了增强安全性大多数网上银行和网上支付平台都会采用双因素或多因素认证。常见认证因素 1、支付密码 2、手机动态口令 3、数字证书 4、支付盾二、暴力破解暴力破解是指黑客利用密码字典使用穷举法猜解出用户密码。暴力破解是现在最为广泛使用的攻击手法之一为了提高效率暴力破解一般会使用带有字典的工具来进行自动化操作- 理论上来说大多数系统都是可以被暴力破解的只要攻击者有足够强大的计算能力和时间所以断定一个系统是否存在暴力破解漏洞其条件也不是绝对的。 - 一个系统存在暴力破解漏洞一般是指该系统没有采用或者采用了比较弱的认证安全策略导致其被暴力破解的“可能性”变的比较高如何提高暴力破解难度?要求用户设置复杂的密码认证时加入验证码校验对尝试登录的行为进行判断和限制如:连续输入3次错误密码进行账号锁定或IP地址锁定等三、权限控制权限控制某个主体对某个客体实施某种操作而系统对这种操作的限制就是权限控制也称为访问控制。权限管理方式1.垂直权限管理 2.水平权限管理3.1 垂直权限管理3.2 水平权限管理相对于垂直权限管理来说水平权限问题出现在同一个角色上。系统只验证了能访问数据的角色然而没有对角色内的用户做细分也没有对数据的子集做细分缺乏一个用户到数据之间的对应关系。如只看服务员不管服务员里面是否有张三、李四、王五···注意事项 - 水平权限管理问题至今仍然是一个难题 - 它难以发现难以在统一框架下解决 - 很难通过扫描等自动化测试方法将这些问题全部找出