在学习本章前,建议先对前序章节进行了解,传送门如下:
本章节结合靶场试验来仔细研究多因素身份验证机制中可能出现的一些漏洞。
什么是多因素身份验证?
在有些实际场景中,会要求用户使用多个身份验证因素来证明其身份。但对于大多数网站来说,验证生物特征因素是不切实际的,越来越普遍的是通过其他物理设备中得到临时验证码进行双重认证。
虽然有时攻击者有可能获得单个因素,例如密码,但能够同时外部其他源获得另一个因素的可能性要小很多。因此,双因素身份验证明显比单因素身份验证更安全。
但是,与任何安全措施一样,它的安全性取决于其防护逻辑,存在逻辑漏洞的双因素身份验证可以被攻破,甚至完全绕过,就像单因素身份验证一样。
另外值得注意的是,多因素身份验证的优势是通过验证多个不同的因素来实现的,以多种不同的方式验证相同的因素并不是真正的多因素身份验证。例如基于电子邮件的双因素身份验证,尽管用户必须提供密码和验证码,但访问代码仅依赖于他们知道其电子邮件账户的登录凭据即可,相当于同样的认证因素只是被验证了两次而已。
双因素身份验证令牌
验证码通常由用户从某种物理设备上读取,许多高安全性网站为用户提供专用设备,例如可能用来访问网上银行或工作笔记本的RSA令牌。除了专为安全设计外,这些专用设备还具有直接生成验证码的特点。出于同样的原因,网站也经常使用专用的移动应用程序来进行验证码的获取。
另一方面,有些网站将验证码作为短信发送到用户手机。虽然这在技术上属于双因素验证,但容易被滥用。首先,代码是通过SMS传输的,而不是由设备本身生成的,这会造成代码被拦截的可能性。其次,还存在SIM交换的风险,即攻击者通过欺诈手段获取带有受害者电话号码的SIM卡,然后攻击者会收到发送给受害者的所有SMS消息,包括验证码的消息。
如何绕过双因素身份验证
大部分双因素身份验证基本上都是安全可靠的,但如果身份验证存在缺陷,就有被绕过的可能。
例如,如果首先提示用户输入密码,然后在单独的页面上提示输入验证码,则用户在输入验证码之前实际上处于“登录”状态。在这种情况下,可以尝试看看是否在完成第一个身份验证步骤后直接跳到“仅登录”页面,有时会发现网站实际上并没有在加载页面之前检查是否完成了第二步。
场景试验-每个请求多个凭据:
https://portswigger.net/web-security/authentication/multi-factor/lab-2fa-simple-bypass
场景说明:
这个场景采用双因素身份验证,但存在逻辑缺陷。场景提供了一个可完全登录的账户密码,并可通过邮件进行双因素验证。
试验目的:
要完成这个试验,通过Carlos账号进行登录,绕过邮件的双因素验证。
攻击过程:
①先用场景提供的用户名和密码进行登录
②随后会跳转到另一个登录页面,让你输入验证码,验证码可以通过邮箱来获取到
③填入验证码后就正常登陆了,我们来通过Burp Suite分析下抓到包,可以看到在login2登录后直接就跳转到了/my-count,似乎并没有对验证码进行验证
④我们登出这个账户,随后用carlos账号密码进行登录,当出现输入验证码的页面时我们将URL修改下
⑤可以发现成功登陆了carlos账户,试验完成。
本试验小结:
这个场景所利用的缺陷就是在于还未进行验证码验证时其实用户已经完成了登录,只是页面并未跳转,在逻辑处理上存在比较大的问题。
SQL注入攻击-利用UNION检索其他数据(上)
SQL注入攻击-检索隐藏的数据
HTTP高级请求走私-HTTP请求隧道(上)
HTTP高级请求走私-CRLF的利用(上)
HTTP高级请求走私-响应队列中毒
HTTP请求走私漏洞-漏洞利用场景(上)
HTTP Host头漏洞-密码重置投毒
HTTP Host头漏洞攻击-概念梳理
原文始发于微信公众号(H君网安白话):身份验证漏洞-多因素身份验证中的漏洞(上)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论