漏洞
认证失效
别称: 身份与认证失败, 认证绕过
定义
认证或会话管理存在缺陷,使攻击者得以冒充合法用户或接管账户的一类漏洞。
认证失效涵盖任何能让攻击者绕过或破坏身份验证的缺陷,包括接受弱口令、缺少暴力破解防护、可预测或不过期的会话令牌、不安全的密码重置流程、缺失 MFA、JWT 签名问题以及明文存储凭据。它长期位列 OWASP Top 10,并是凭据填充和账户接管的基础。常见防御包括强制唯一强密码、MFA、限速与锁定、安全的口令存储(带盐的 Argon2/bcrypt)、短生命周期的签名会话令牌,以及经过审计的重置与找回流程。
示例
- 应用在 URL 中传递会话 ID,且登录后不刷新。
- 密码重置使用 4 位数字令牌通过邮件发送。
相关术语
访问控制失效
授权规则缺失或执行不当,使用户能够执行超出其权限的操作或访问越权数据的一类漏洞。
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
Session Fixation
Session Fixation — definition coming soon.
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
OWASP Top 10
OWASP Top 10 — definition coming soon.