Java 失效的身份验证指南：示例与预防

身份验证是任何应用程序的关键策略之一。此策略可以控制和保护资源免受未经授权的访问。但如果实施不当，可能会导致多个安全漏洞。 

Java 经受住了时间的考验。它自 1996 年诞生以来，定期进行改进以满足程序员的需求。它是使用最广泛的语言之一，但在身份验证方面存在一些漏洞。 

读完这篇文章后，您将能够了解身份验证的潜在问题及其实际影响，以及如何预防它。 

什么是失效身份验证？

身份验证失败是由于身份验证机制实施不力而导致的一系列安全漏洞。

当黑客或网络罪犯能以任何可能的方式绕过身份验证过程时，就会发生身份验证失效。这允许未经身份验证的人访问系统，或者在某些情况下，允许攻击者在不提供有效密码或 PIN 的情况下进行身份验证。

例如，如果网络犯罪分子成功从受害者那里获取用户名，但身份验证系统没有任何速率限制，则攻击者可以通过暴力破解密码来绕过身份验证。

攻击者可以使用多种不同的方法来利用破坏的身份验证漏洞。

根据漏洞的类型及其利用方式，攻击者可能能够访问敏感数据、更改数据等等。

什么原因导致身份验证漏洞？

身份验证失败可能导致许多问题，例如数据泄露和系统入侵。导致身份验证失败的原因有很多，包括 

• 使用可猜测的会话 ID，
• 拥有一个在密码更改后不会过期的会话，
• 使用弱密码和众所周知的密码，
• 缺乏暴力破解保护，并且
• 以明文形式存储敏感数据（密码）。

但这些只是漏洞而已，黑客又是如何利用这些问题的呢？让我们深入探讨一下。 

利用身份验证漏洞的常见攻击

当黑客发现网站身份验证系统中存在漏洞时，他们会尝试利用该漏洞并获取敏感数据。但是，黑客在利用漏洞时究竟会做什么呢？以下是黑客利用被破坏的身份验证漏洞的三种不同类型的攻击。 

1. 暴力攻击和字典攻击

暴力攻击是最简单的攻击类型。这是一种反复试验的方法，黑客会尝试猜测目标用户的凭据。攻击者可以使用多种技术来实现这一点。 

另一方面，字典攻击是最常用的方法，它只是一种使用单词表来猜测用户密码的反复试验的方法。 

2. 密码喷洒

密码喷洒是最常见的攻击方法之一。它通常与机器人一起使用。这种攻击涉及反复尝试使用用户名和密码组合登录服务器或网站。 

密码喷洒比暴力攻击的优势在于它通常能够成功。这是因为它利用了许多用户使用的通用密码。  

3. 响应操控

响应操纵利用了服务器（或任何其他主机）与客户端之间的通信通道中的漏洞。当应用程序依赖服务器的成功响应（仅布尔值）来验证用户时，就会发生这种情况。此外，攻击者可以使用代理和绕过身份验证轻松操纵传入的响应。 

现在我们已经对破坏身份验证漏洞有了总体了解，接下来让我们了解一下特定于 Java 的漏洞。 

理解 Java 中失效的身份验证

在本节中，我们将研究三个不同的代码片段（Java Spring Boot），了解破坏的身份验证漏洞以及如何预防它们。 

让我们开始吧。 

代码片段 #1

@RequestMapping("/register")

public void Register(@RequestBody UserInfo user){

    try{

        database.openConnection();

        database.saveUser(User.email, user.password);

    }

    catch(Exception ex){

        throw ex;

    }

    finally{

        database.closeConnection();

    }

}

在上面的代码片段中，我们有一个 /register 端点，它从请求主体接收电子邮件地址和密码。此代码片段中的安全风险是： 

1. 弱密码策略——没有检查密码的长度，甚至没有检查密码是否足够强。
2. 敏感数据的明文存储——密码直接存储在数据库中，无需对密码进行散列或加盐处理。

为了防止上述问题，我们建议您使用辅助函数来检查密码是否强，并在将密码存储在数据库之前对其进行加盐。 

@RequestMapping("/register")

public void Register(@RequestBody UserInfo user){

    try{

        database.openConnection();

        if(isPasswordStrong(password))

            password = saltPassword(password);

        database.saveUser(User.email, user.password);

    }

    catch(Exception ex){

        throw ex;

    }

    finally{

        database.closeConnection();

    }

}

代码片段 #2

@RequestMapping("/changePassword")

protectedvoidchangePassword(

                            @RequestParam("currentPassword") String currentPassword,

                            @RequestParam("newPassword") String newPassword,

                            HttpServletResponse response) throws Exception

{

    PrintWriter writer = response.getWriter();

    try

    {

        handler.handleChangePassword(currentPassword, newPassword);

    }

    catch (Exception ex)

    {

        writer.println( ex.getMessage() );

        response.setStatus(HttpServletResponse.SC_BAD_REQUEST);

        return;

    }

    writer.println(HttpServletResponse.SC_OK);

}

在上面的代码中，我们有一个 /changePassword 路由，该路由以 currentPassword 和 newPassword 作为输入，并通过在DB中更新来更改用户密码。此代码存在不适当的会话管理漏洞，导致用户更改密码后会话不会过期。 

为了防止出现此问题，应用程序应从所有其他活动会话中注销用户。 

@RequestMapping("/changePassword")

protectedvoidchangePassword(

                            @RequestParam("currentPassword") String currentPassword,

                            @RequestParam("newPassword") String newPassword,

                            HttpServletRequest request,

                            HttpServletResponse response) throws Exception

{

    PrintWriter writer = response.getWriter();

    try

    {

        handler.handleChangePassword(currentPassword, newPassword);





        HttpSession session = request.getSession(false);

        if(session != null)

            session.invalidate();

    }

    catch (Exception ex)

    {

        writer.println( ex.getMessage() );

        response.setStatus(HttpServletResponse.SC_BAD_REQUEST);

        return;

    }

    writer.println(HttpServletResponse.SC_OK);

}

代码片段 #3

@Controller

public class AdminController {





    @RequestMapping(value = "/admin/user/data", method = RequestMethod.GET)

    @ResponseBody

    public List<String> getUserDetails(Authentication authentication) {

        if(authentication.isAuthenticated()){

            return userDao.getDetailsFromDb();

        }

    }

}

在上面的代码中，我们有一个管理员路由 /admin/user/data，负责检索用户的所有数据。此代码中的安全风险涉及缺少 API 身份验证来检查用户的真实性并验证经过身份验证的用户是否是管理员。 

为了防止上述问题，我们建议您添加身份验证检查和适当的授权检查（如果用户是管理员），以避免数据泄露。 

@Controller

public class AdminController {

    @RequestMapping(value = "/admin/user/data", method = RequestMethod.GET)

    @ResponseBody

    public List<String> getUserDetails(Authentication authentication) {

        if (authentication instanceof AdminAuthenticationToken){

            return userDao.getDetailsFromDb();

        }

    }

}

现在我们已经彻底了解了该漏洞，让我们来看看一些常见的最佳做法来避免此类风险。 

避免身份验证漏洞的最佳实践

破坏的身份验证漏洞对于所有应用程序（包括移动应用程序、Web 应用程序和 iOS 应用程序）来说都是一个巨大的问题。

此外，帐户接管攻击是造成 Web 应用程序损害的主要原因，并且通常涉及破坏身份验证漏洞。 

以下是一些最佳实践，可帮助您避免应用程序中的身份验证漏洞。 

1. 执行严格的密码策略。最重要的是，创建更长更强的密码是避免身份验证漏洞的第一步。要执行严格的密码策略，您需要使用LDAP和Active Directory来管理您的身份验证凭据，或者使用密码管理工具，如LastPass、DashLane或1Password。
2. 要求多因素身份验证。多因素身份验证是防止未经授权访问系统的一种非常有效的方法。对于访问敏感数据的系统，强烈建议使用此方法与用户名/密码对结合使用。
3. 使用速率限制。避免身份验证攻击的最佳方法之一是对所有经过身份验证的相关端点（如登录）使用速率限制，这可以防止暴力攻击。现代应用程序使用两种不同的方式来实现速率限制。首先，它们可以在用户尝试使用错误密码登录多次后阻止其帐户（称为帐户锁定）。其次，它们可以使用CAPTCHA图像质询阻止攻击。虽然这些 CAPTCHA 质询在过去很烦人且难以破译，但如今，随着计算机视觉、OCR 等技术的进步，这种方法变得不那么有效了。

结论

身份验证漏洞是系统安全的主要威胁。例如，它可能导致机密信息丢失、声誉受损和财务损失。此外，这种漏洞的严重性通常非常高，因为未经授权的用户可以访问系统及其资源。因此，这可能导致组织的数据和敏感信息被盗。 

在这篇文章中，我们深入讨论了身份验证漏洞，并了解了黑客如何利用它。此外，我们还了解了一些可以采取的预防措施，以保护您的应用程序免受此类攻击。  

文章来源：Java Broken Authentication Guide:Examples and Prevention