用户访问机制的安全

啥叫用户访问，说通俗点就是你进入一个网站，从进入到应用的一个过程，也可以说是前戏！大家都知道，XXOO的时候前戏很重要喔~所以这块在web应用程序安全上也是个重头戏~

我尽量讲的简单点，通俗点，让大家都能懂。

对于身份验证存在的安全漏洞其实和传统的web危险有很大的关系，这里指的是什么，指的就是类似于盗号神马的，也和新兴的一些非传统领域有一些关系，比如社工。这个观点我不知道别人有没有提过，这些都是我自己思考出来的，呵呵，不知道对不对。
身份验证验证的是什么？验证的是我们是否是一个合法的身份，如果我们不能伪造一个合法身份，那我们为什么不能用别人的合法身份来进行验证呢？这也就是我说的和盗号社工什么的有关系的原因。
再就是大家比较公认的一块对身份验证存在危险的漏洞，就是绕过身份验证。那天我和嫖客聊天聊到了他进行渗透测试的一般流程，他说扫到后台之后验证cookie神马的，其实这就是一种绕过身份验证，大家要知道身份验证不只在前台有的，后台也是的！而且这是尤为重要的，因为后台的攻击范围在一般情况下是大于前台的。

我们登录了之后要进行的就是访问我们想要访问的程序或者进行一些应用，这个过程就形成了一个会话周期。在客户端与服务端的信息传输过程中，就是用户进行一系列http请求的过程，为了更好的进行下一阶段的访问控制，我们就需要生成一个会话周期，而对这个周期就行管理就是会话管理。

插入

在这个管理过程中，我们需要生成一个令牌，那这个令牌是做什么用呢？一方面是进行安全的验证，另一方面就是更好的帮助web应用程序和我们提出的请求之间进行良好的交互。这个令牌是一个关键，会话是一组数据，而这个令牌是唯一的一组字符串。说了这么多，有的朋友可能有点迷糊， 你讲了令牌的这样那样，那到底什么是个令牌？举个例子，你本地保存的cookie就是一个令牌！

在上面为什么花这么大的力气去讲这个令牌，因为在会话管理中，这个令牌是对我们安全最有威胁的一个易于被攻击点。还是举例子，桂林老兵版本的MyBrowser浏览器相信很多人都用过吧，它是用来做什么的呢？他进行的是cookie欺骗和伪造（当然也有获取的功能），cookie欺骗和伪造漏洞就是一直令牌攻击，我们伪造了其它用户的cookie，然后就可以控制别人的会话了，大家想想是不是？

再有就是xss，这里为什么要讲xss，因为xss有盗取其它用户cookie的功能，这个大家都是知道的，这就是利用外部缺陷来攻克会话管理的安全堡垒！
另外在进行攻击的时候，攻击者要注意会话周期的时效。

现在我们来到了最后，最后一关，也是这个前戏的高潮和尾声。那就是访问控制。
在进行前面2个过程之后，我们经过重重验证来到了这里，web应用程序要进行的就是对已经通过验证的用户进行访问权限的分配，比如我们的匿名用户和会员可以看到帖子，而吧主就可以进入后台管理看到会员看不到的一些东西。
这个过程是很容易造成安全危险的。
访问控制的机制是相当复杂的，甚至可以说是这整个过程中最复杂的一部分，这里最严重的漏洞就是未授权访问，而造成这个威胁的原因也是相当多的。有前端应用程序的问题，也有后端服务器数据库配置的原因。往往我们利用这种漏洞可以访问到很多敏感的信息，这里举个例子，遍历目录漏洞，这通常都是由于服务器配置的原因造成的。我在以前渗透台湾最大的色情站的时候就是发现了遍历目录找到了别人留下的shell从而得手，这个过程仅仅有了5分钟而收益巨大！所以说不要小瞧这种威胁，有很多人说未授权访问是种鸡肋漏洞，甚至在一些白帽子交流网站中给这种威胁的rank值都很少，个人感觉这是不可取的。


身份验证，会话管理，访问控制一起构成了用户访问机制的整个流程，在这个过程中这三项是紧密联系不可分割的。现在还没有一种完美的安全管理机制来把这三个过程都紧密的保护在一起，所以在对这三个过程的安全保护都是要分别关注，任何一个方面出现了缺陷都可能导致我们整个体系的沦陷，所以千万不要轻视任意一个点，点不光能成线，也是面的基本体。
讲的也差不多了，也有点困了，该和媳妇觉觉了，收尾吧，今天就是随便讲讲，希望大家多支持。


恩，想到了木桶原理。
决定一个服务器安全性能好坏的不是最坚固的那一环，而是最薄弱的一环。

这话说的好。

好贴，看完了，收藏了。

我去～还和XXOO扯上了= =