OWASP Mobile Top 10：浅谈M4不安全的认证？

当移动设备无法正确识别用户并允许攻击者使用默认凭据登录应用程序时，就会出现此问题。这通常发生在攻击者伪造或绕过身份验证协议（这些协议缺失或实施不当）并使用位于移动设备中的恶意软件或僵尸网络直接与服务器交互时，从而无法与应用程序建立直接通信。

不安全的认证 风险输入形式因素

不安全的输入形式因素是移动设备中常见的操纵源，因为应用程序制造商和移动平台鼓励易于访问的四位或六位密码以方便访问。除了输入形式因素较弱之外，移动设备上不可靠的互联网访问迫使开发人员采用离线-在线方法来验证会话。

不安全的用户凭证

不安全身份验证的一个技术影响是，当应用程序无法正确确定用户凭据时，它也无法正确记录用户活动。如果此类用户利用来自设备的数据或代码或从设备传输的数据或代码移动应用安全，安全团队将无法正确确定攻击的来源和性质。此外，不安全的身份验证还会对设备中的用户权限造成严重破坏，因为操作系统将不知道应该为未经过正确身份验证的用户准确分配什么角色。

避免不安全身份验证的最佳实践

仔细研究应用程序的身份验证方案，并在离线模式下使用二进制攻击对其进行测试，以确定它是否可能被利用。安全团队应检查应用程序是否允许执行 POST/GET 命令以在没有访问令牌的情况下与服务器建立连接。成功的连接会在应用程序中建立漏洞。开发人员应确保密码和安全密钥未本地存储在移动设备上。此类数据极易被操纵。

安全团队应该尝试实施以下尽可能多的方法来保护移动应用程序免受不安全的身份验证：

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!