Web应用程序的威胁与对策(16)

在字典攻击中，攻击者使用程序来重述字典中的所有词（或采用多种语言的多个字典）并计算每个词的哈希。生成的哈希与数据存储区中的值进行比较。可以快速破解弱密码，如“Yankees”（一个受欢迎的团队）或“Mustang”（一种受欢迎的车）。较强密码（如“?You'LlNevaFiNdMeyePasSWerd!”）被破解的可能性较小。

注意 一旦攻击者获得了密码哈希列表，则可以脱机执行字典攻击，而且并不要求与应用程序交互。

防止字典攻击的对策包括：

使用强密码，此强密码应该复杂，不是常规单词，且包含混用大写、小写、数字和特殊字符。 在用户存储区中存储不可还原的密码哈希。还要在密码哈希中包含一个 Salt 值（一个加密性强的随机数字）。

有关使用添加的 Salt 存储密码哈希的更多信息，请参考模块 14 构建安全的数据访问。

Cookie 重播攻击

采用这种类型的攻击，攻击者可以使用监测软件捕捉用户的身份验证 Cookie 并将其重播给应用程序，以便使用虚假身份获取访问权。

防止 Cookie 重播的对策包括：

无论何时传输身份验证 Cookie 时，请使用提供的 SSL 加密通讯通道。 将 Cookie 超时设置为一个值，以在经过相对短的时间间隔后强制进行身份验证。尽管这并不能防止重播攻击，但它缩

短了攻击者可以重播请求而无需强制进行重新身份验证的时间间隔，因为此会话已超时。

凭证偷窃

如果您的应用程序实现其自身的包含用户帐户名和密码的用户存储区，那么将其安全值与平台提供的凭证存储区（例如 Microsoft Active Directory® 目录服务或安全帐户管理器 (SAM) 用户存储区）相比较。浏览器历史记录和缓存也存储用户登录信息，以备将来之用。如果登录用户以外的人访问了终端，而且点击了相同的页面，则保存的登录将可用。

有助于防止凭证偷窃的对策包括：

使用并强制强密码。 以添加了 Salt 的单向哈希的方式存储密码验证符。 在重试一定次数后，对最终用户帐户强制帐户锁定。 为了应对浏览器缓存允许登录访问的可能性，创建允许用户选择不保存凭证的功能，或强制此功能作为默认策略。

返回页首

授权

根据用户身份和角色成员身份，可以允许或拒绝对特定资源或服务的授权。利用授权漏洞的最大威胁包括：

特权提升