课程名称： 大话HTTP协议 漫画+图解打造的编程基础课程
课程章节： 验证机制安全
课程内容：

验证机制概述

1. 验证机制是Web应用程序中最简单的一种安全机制
   • 一般来说，应用程序必须核实用户提交的用户名和密码是否正确。正确则允许登录，否则禁止登录
2. 验证机制是应用程序防御恶意攻击的核心机制
   • 它处于安全防御的最前沿，如果被用户轻易突破，通常应用程序的全部功能、数据都会被其控制
   • 缺乏安全有效的验证机制，其他核心安全机制都无法实施（会话管理和访问控制）

典型的身份验证模式讨论

验证技术

• 基于HTML表单的验证
• 多元机制，如组合型密码
• 客户端ssl证书

常见漏洞

弱密码

许多Web应用程序没有或很少对用户密码强度进行控制
* 非常短或空白密码
* 以常用字典词汇为密码（password、123456）
* 密码与用户名完全相同
* 长时间使用默认密码

暴力破解

• 登录功能的公开性会诱使攻击者视图猜测用户名和密码，从而获得访问应用程序的权力
• 如果应用程序允许攻击者用不同的密码暴力尝试，直到他找到正确的密码，这个程序就非常容易遭受攻击
• 执行暴力攻击
  
• 很多工具（如Burpsuite），自身提供了一些常用密码破解list，我们也可以自行添加一些常用字典，网上也有更多全面的密码字典
• 依赖今天的带宽和处理能力，根据经验，每分钟可以发出几千甚至上万个登录尝试，如果没有一些安全措施的话，最强大的密码也最终会被攻破

暴力破解-安全措施

验证码技术
* 最常见和有效的应对方式，需要注意几个问题
1. 验证码是否真实有效
2. 验证码复杂度
3. 应对当前的“打码”事业盛行（OCR）
4. 人们已经对captcha技术做了大量研究

Cookie和会话检测

• 有些应用程序会设置一个cookie，如failedlogin=0；
  登录尝试失败，递增该值，达到某个上限，检测到这个值并拒绝再次处理登录
• 失败计数器可能在cookie中，也可能存储在会话中

双因子认证

• 双因子认证的核心是综合What you know（个人密码）和What you have（手机）来达到双重认证效果
• 目前很多电商、银行都采用的该认证方式

谁忘记了你的密码

• 当前互联网网站大多提供“忘记密码”功能，但是呢，这里面往往会存在一些典型的安全问题
• 核心问题就是忘记密码的流程跳过的身份验证
• 如果不考虑通过客服找回密码的话，通常网站设计有三种方式来认证用户
  1. 用户设定的安全问题
  2. 用户注册时留下的安全邮箱
  3. 给预留手机号发送验证码短信
• 忘记密码模块可能存在的漏洞

安全问题

• 某网站登录页面中的找回密码功能，再点击下面

邮箱重置密码

MD5加密依赖

多阶登录机制

课程收获：
感谢老师，给我们讲解了验证机制的安全漏洞问题以及常见的漏洞，让我认识到我们原本以为很安全的机制其实都不太安全。

课程截图：