更新時間:2024-10-25 04:24:43
建站經(jīng)驗
400圣誕節(jié)很快就要到了,對滲透測試的熱情仍然有增無減。我們SINE安全在此為用戶認證登錄安全制定一個全面的檢測方法和要點Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標準((RFC 7519).該token被設(shè)計為緊湊且安全的,特別適用于分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認證的用戶身份信息,以便于從資源服務(wù)器獲取資源,也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息,該token也可直接被用于認證,也可被加密。
7.2.2. 構(gòu)成
分為三個部分,分別為header/payload/signature。其中header是聲明的類型和加密使用的算法。payload是載荷,最后是加上 HMAC((header)+(payload), secret)
7.2.3. 安全問題
7.2.3.1. Header部分
是否支持修改算法為none
kid字段是否有注入
jwk元素是否可信
是否強制使用白名單上的加密算法
7.2.3.2. Payload部分
其中是否存在敏感信息
檢查過期策略,比如 exp , iat
7.2.3.3. Signature部分
檢查是否強制檢查簽名
密鑰是否可以被強行登錄
是否可以通過其他方式拿到密鑰
7.2.3.4. 其他
修改算法RS256為HS256
弱密鑰破解
Kerberos
7.3.1. 簡介
簡單地說,Kerberos提供了一種單點登錄(SSO)的方法。考慮這樣一個場景,在一個網(wǎng)絡(luò)中有不同的服務(wù)器,比如,打印服務(wù)器、郵件服務(wù)器和文件服務(wù)器。這些服務(wù)器都有認證的需求。很自然的,不可能讓每個服務(wù)器自己實現(xiàn)一套認證系統(tǒng),而是提供一個中心認證服務(wù)器(AS-Authentication Server)供這些服務(wù)器使用。這樣任何客戶端就只需維護一個密碼就能登錄所有服務(wù)器。
因此,在Kerberos系統(tǒng)中至少有三個角色:認證服務(wù)器(AS),客戶端(Client)和普通服務(wù)器(Server)。客戶端和服務(wù)器將在AS的幫助下完成相互認證。在Kerberos系統(tǒng)中,客戶端和服務(wù)器都有一個唯一的名字,叫做Principal。同時,客戶端和服務(wù)器都有自己的密碼,并且它們的密碼只有自己和認證服務(wù)器AS知道。
7.3.2. 簡化的認證過程
客戶端向服務(wù)器發(fā)起請求,請求內(nèi)容是:客戶端的principal,服務(wù)器的principal
AS收到請求之后,隨機生成一個密碼Kc, s(session key), 并生成以下兩個票據(jù)返回給客戶端
1.給客戶端的票據(jù),用客戶端的密碼加密,內(nèi)容為隨機密碼,session,server_principal
2.給服務(wù)器端的票據(jù),用服務(wù)器的密碼加密,內(nèi)容為隨機密碼,session,client_principal
客戶端拿到了第二步中的兩個票據(jù)后,首先用自己的密碼解開票據(jù),得到Kc、s,然后生成一個Authenticator,其中主要包括當前時間和Ts,c的校驗碼,并且用SessionKey Kc,s加密。之后客戶端將Authenticator和給server的票據(jù)同時發(fā)給服務(wù)器
服務(wù)器首先用自己的密碼解開票據(jù),拿到SessionKey Kc,s,然后用Kc,s解開Authenticator,并做如下檢查
1.檢查Authenticator中的時間戳是不是在當前時間上下5分鐘以內(nèi),并且檢查該時間戳是否首次出現(xiàn)。如果該時間戳不是第一次出現(xiàn),那說明有人截獲了之前客戶端發(fā)送的內(nèi)容,進行Replay攻擊。
2.檢查checksum是否正確
3.如果都正確,客戶端就通過了認證
服務(wù)器段可選擇性地給客戶端回復(fù)一條消息來完成雙向認證,內(nèi)容為用session key加密的時間戳
客戶端通過解開消息,比較發(fā)回的時間戳和自己發(fā)送的時間戳是否一致,來驗證服務(wù)器
7.3.3. 完整的認證過程
上方介紹的流程已經(jīng)能夠完成客戶端和服務(wù)器的相互認證。但是,比較不方便的是每次認證都需要客戶端輸入自己的密碼。
因此在Kerberos系統(tǒng)中,引入了一個新的角色叫做:票據(jù)授權(quán)服務(wù)(TGS - Ticket Granting Service),它的地位類似于一個普通的服務(wù)器,只是它提供的服務(wù)是為客戶端發(fā)放用于和其他服務(wù)器認證的票據(jù)。
這樣,Kerberos系統(tǒng)中就有四個角色:認證服務(wù)器(AS),客戶端(Client),普通服務(wù)器(Server)和票據(jù)授權(quán)服務(wù)(TGS)。這樣客戶端初次和服務(wù)器通信的認證流程分成了以下6個步驟:
客戶端向AS發(fā)起請求,請求內(nèi)容是:客戶端的principal,票據(jù)授權(quán)服務(wù)器的rincipal
AS收到請求之后,隨機生成一個密碼Kc, s(session key), 并生成以下兩個票據(jù)返回給客戶端:
1.給客戶端的票據(jù),用客戶端的密碼加密,內(nèi)容為隨機密碼,session,tgs_principal
2.給tgs的票據(jù),用tgs的密碼加密,內(nèi)容為隨機密碼,session,client_principal
客戶端拿到了第二步中的兩個票據(jù)后,首先用自己的密碼解開票據(jù),得到Kc、s,然后生成一個Authenticator,其中主要包括當前時間和Ts,c的校驗碼,并且用SessionKey Kc,s加密。之后客戶端向tgs發(fā)起請求,內(nèi)容包括:
1.Authenticator
2.給tgs的票據(jù)同時發(fā)給服務(wù)器
3.server_principal
TGS首先用自己的密碼解開票據(jù),拿到SessionKey Kc,s,然后用Kc,s解開Authenticator,并做如下檢查
1.檢查Authenticator中的時間戳是不是在當前時間上下5分鐘以內(nèi),并且檢查該時間戳是否首次出現(xiàn)。如果該時間戳不是第一次出現(xiàn),那說明有人截獲了之前客戶端發(fā)送的內(nèi)容,進行Replay攻擊。
2.檢查checksum是否正確
3.如果都正確,客戶端就通過了認證
tgs生成一個session key組裝兩個票據(jù)給客戶端
1.用客戶端和tgs的session key加密的票據(jù),包含新生成的session key和server_principal
2.用服務(wù)器的密碼加密的票據(jù),包括新生成的session key和client principal
客戶端收到兩個票據(jù)后,解開自己的,然后生成一個Authenticator,發(fā)請求給服務(wù)器,內(nèi)容包括
1.Authenticator
2.給服務(wù)器的票據(jù)
服務(wù)器收到請求后,用自己的密碼解開票據(jù),得到session key,然后用session key解開authenticator對可無端進行驗證
服務(wù)器可以選擇返回一個用session key加密的之前的是時間戳來完成雙向驗證
客戶端通過解開消息,比較發(fā)回的時間戳和自己發(fā)送的時間戳是否一致,來驗證服務(wù)器
SAML
7.4.1. 簡介
SAML (Security Assertion Markup Language) 譯為安全斷言標記語言,是一種xXML格式的語言,使用XML格式交互,來完成SSO的功能。 SAML存在1.1和2.0兩個版本,這兩個版本不兼容,不過在邏輯概念或者對象結(jié)構(gòu)上大致相當,只是在一些細節(jié)上有所差異。
7.4.2. 認證過程
SAML的認證涉及到三個角色,分別為服務(wù)提供者(SP)、認證服務(wù)(IDP)、用戶(Client)。一個比較典型認證過程如下:
Client訪問受保護的資源
SP生成認證請求SAML返回給Client
Client提交請求到IDP
IDP返回認證請求
Client登陸IDP
認證成功后,IDP生成私鑰簽名標識了權(quán)限的SAML,返回給Client
Client提交SAML給SP
SP讀取SAML,確定請求合法,返回資源
7.4.3. 安全問題
源于ssl模式下的認證可選性,可以刪除簽名方式標簽繞過認證,如果SAML中缺少了expiration,并且斷言ID不是唯一的,那么就可能被重放攻擊影響,越來越多的網(wǎng)站安全問題日益出現(xiàn),如果想要對網(wǎng)站或平臺進行全面的安全檢測以及滲透測試,可以咨詢下專業(yè)的網(wǎng)站安全公司來進行安全加固滲透測試,國內(nèi)做的比較好的推薦Sinesafe,綠盟,啟明星辰,深信服等等都是比較大的安全公司。
我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!
