多因素身份验证的漏洞
翻译
原文:https://portswigger.net/web-security/authentication/multi-factor
- name: 翻译
desc: 原文:https://portswigger.net/web-security/authentication/multi-factor
bgColor: '#F0DFB1'
textColor: 'green'
2
3
4
# 多因素身份验证的漏洞
在本节中,我们将介绍 多因素身份验证机制 中可能出现的一些漏洞。我们还提供了几个交互式实验室,来演示如何利用这些漏洞。
许多网站完全依赖于 “使用密码的单因素身份验证” 来验证用户。但是,一些网站要求用户 必须使用多个身份验证因素来证明其身份。
对于大多数网站来说,验证生物特征因素 是不切实际的。但是,基于 你知道的 和 你拥有的 这两个认证类型(知识因素 和 持有因素),你将会看到 强制性 和 可选的 双因素身份验证(2FA)越来越普遍。这通常需要用户 拥有他们自己的带外物理设备,并输入 传统密码 和 临时验证码。
虽然攻击者 有时可能会获得单个基于知识的因素,例如密码,但能够同时从带外源 获取另一个因素的可能性要小得多。因此,双因素身份验证显然比单因素身份验证更安全。但是,与任何安全措施一样,它的安全性取决于其实施。实施不佳的双因素身份验证 可能会被攻击,甚至完全绕过,就像单因素身份验证一样。
同样值得注意的是,多因素身份验证的全部功效 只能通过验证多个不同的因素来实现。以两种不同的方式验证同一因素,不是真正的双因素身份验证。基于电子邮件的 2FA 就是这样一个例子。尽管用户必须提供密码和验证码,但访问代码仅依赖于 他们知道其电子邮件帐户的登录凭据。因此,知识认证因素只被简单地验证两次。
# 1.1双因素身份验证令牌
验证码通常由用户从某种物理设备读取。许多高安全性网站现在为用户提供了专用设备,例如 RSA 令牌 或 软键盘设备,你可以使用它们来访问你的在线银行 或 工作笔记本电脑。除了为安全性而专门构建之外,这些专用设备还具有直接生成验证码的特点。出于同样的原因,网站使用专门的移动应用程序(如Google Authenticator,谷歌身份验证器)也很常见。
另一方面,一些网站将验证码作为短信 发送到用户的移动设备。虽然这在技术上依然验证了 “你拥有” 的因素,但它很容易被滥用。
- 首先,验证代码是通过 SMS(短信)传输的,而不是由设备本身生成。这就有可能导致代码被截获。
- 同时,还存在 SIM 卡交换的风险,攻击者通过欺诈性手段,获取带有受害者电话号码的 SIM 卡。然后,攻击者将获得 发送给受害者的所有 SMS 消息,包括带有其验证码的 SMS 消息。
# 1.2绕过双因素身份验证
有时,双因素身份验证的实现存在缺陷,以至于可以完全绕过。
首先,如果提示用户输入密码,然后在单独的页面上提示输入验证码,则用户在输入验证码之前,实际上处于 “已登录” 状态。在这种情况下,值得进行测试,看看在完成第一个身份验证步骤后,是否可以直接跳到 “仅登录” 页面。有时,你会发现某个网站在加载页面之前,并没有检查你是否完成了第二步。
- name: 实验室-学徒
desc: 2FA简易绕过 >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/authentication/multi-factor/lab-2fa-simple-bypass
bgColor: '#001350'
textColor: '#39d50c'
2
3
4
5
6
# 1.3存在逻辑缺陷的双因素身份验证
有时,双因素身份验证中的逻辑存在缺陷,这意味着 在用户完成初始登录步骤后,网站无法充分验证同一用户 是否正在完成第二步操作。
例如,用户在第一个步骤中 使用其普通凭据进行登录,如下所示:
POST /login-steps/first HTTP/1.1
Host: vulnerable-website.com
...
username=carlos&password=qwerty
2
3
4
随后,系统会为他们分配一个 与其帐户相关联的 cookie,然后进入登录过程的第二步:
HTTP/1.1 200 OK
Set-Cookie: account=carlos
GET /login-steps/second HTTP/1.1
Cookie: account=carlos
2
3
4
5
提交验证码时,该请求会使用此 Cookie 来确定用户试图访问哪个帐户:
POST /login-steps/second HTTP/1.1
Host: vulnerable-website.com
Cookie: account=carlos
...
verification-code=123456
2
3
4
5
在这种情况下,攻击者可以使用自己的凭据登录,然后在提交验证码时,将该帐户的 cookie 值更改为任意用户名。
POST /login-steps/second HTTP/1.1
Host: vulnerable-website.com
Cookie: account=受害用户名
...
verification-code=123456
2
3
4
5
随后,如果攻击者能够暴力破解验证码,这将是非常危险的,因为攻击者只需要知道用户名,就可以登录任意用户的帐户。他们甚至不需要知道用户的密码。
- name: 实验室-从业者
desc: 2FA逻辑缺陷 >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/authentication/multi-factor/lab-2fa-broken-logic
bgColor: '#001350'
textColor: '#4cc1ff'
2
3
4
5
6
# 1.42FA验证码暴破
与密码一样,网站需要采取措施,以防止 2FA 验证码遭受暴力破解。这一点尤其重要,因为代码通常是一个简单的 4 位或 6 位数字。如果没有足够的暴力保护,破解这样的代码将会是轻而易举的。
某些网站试图通过 在用户输入一定数量的错误验证码时,自动注销登录状态,以此来防止这种情况。这在实践中是无效的,因为高级攻击者甚至可以通过为 Burp Intruder 创建宏 (opens new window)来自动执行这种多步骤过程。Turbo Intruder (opens new window)扩展也可用于此目的。
- name: 实验室-专家
desc: 通过暴力攻击绕过2FA >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/authentication/multi-factor/lab-2fa-bypass-using-a-brute-force-attack
bgColor: '#001350'
textColor: '#d112fe'
2
3
4
5
6