圣诞节快到了,网站渗透测试的热情依然与日俱增。人人信安在这里为客户认证登录的安全性制定了全方位的测试方法和关键点Jsonwebtoken(JWT),这是一个基于Json的开放标准((RFC7519))为了更好的在网络技术应用的自然环境之间传输语句。令牌设计得紧凑而安全,特别适合分布式系统网站的SSO场景。JW的声明一般用于在真实身份服务提供者和服务提供者之间传递被认证客户的真实身份信息,便于从资源服务器获取资源。它还可以增强一些其他领域模型所需的声明信息。令牌也可用于立即认证或通过数据加密。
7.2.2.作文
分为三个部分,每个部分都是报头/有效载荷/签名。其中header是数据加密应用的声明类别和优化算法。有效载荷是载荷,最后加上HMAC((头)(有效载荷),秘密)。
7.2.3.潜在的安全隐患
7.2.3.1的一部分。页眉
优化算法改成无合适吗?
kid字段名有介绍吗?
jw元素靠谱吗?
授权管理中是否强制应用加密技术?
7.2.3.2的一部分。有效载荷
里面有敏感信息吗?
过期对策,如exp、iat
7.2.3.3的一部分。签名
检查是否强制检查签名。
钥匙可以强制登录吗?
有可能根据其他方法获得密钥吗?
7.2.3.4.其他?
优化算法RS256改为HS256
弱密钥破解
麻省理工学院开发的安全认证系统
7.3.1.介绍
简单地说,Kerberos提供了一种单点登录(SSO)方法。考虑到这种情况,在互联网中有不同的服务器,例如复制服务器、电子邮件服务器和文档服务器。所有这些服务器都需要认证。当然,也不太可能每台服务器都能独立完成一套认证系统软件,而只是展示一台AS-AuthenticationServer供这类服务器应用。这样,所有客户端只需维护一个登录密码就可以登录到所有服务器。
因此,Kerberos系统软件中至少有三种角色:认证服务器(as)、客户端和通用服务器。并且客户端和服务器将在AS的帮助下相互认证。在Kerberos系统软件中,客户端和服务器都有一个唯一的名称,称为主体。此外,客户端和服务器都有自己的登录密码,它们的登录密码只有自己和认证服务器知道。
7.3.2.简化的整个认证流程
从客户端向服务器发出请求。请求的内容是:客户端的委托人和服务器的委托人。
AS收到请求后,随机生成一个登录密码Kc,s(sessionkey),并形成以下两张票返回给客户端。
1.给客户端的账单是用客户端的密码加密的,内容是随机密码,session,server_principal。
2.给出服务器端账单,用服务器的密码加密。内容是随机密码,会话,client_principal。
客户端在获得第二步的两张票后,先用自己的登录密码注销票,获得Kc和S,然后形成一个认证器,其中的密钥包括获得当前时间和ts、C、C的验证码,用SessionKeyKc、S、S数据加密。以后客户端会把认证器和给服务器的票分别发给服务器。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)