BSides Las Vegas 2023:关于密码忘记的风险及其对安全的影响
重要要点
在 BSides Las Vegas 2023 会议中,许多讲座集中探讨了开发人员在实施安全协议和做法时,因为对于设置的理解不深或编码不当而造成的问题。密码无需验证的技术虽然便利,但在不当实施下却可能引发安全漏洞。软体漏洞扫描工具常因开发者的不当行为而无法正确识别漏洞,废弃官方包管理工具如 npm 或 pip会影响扫描器的准确性。在每年举办的 DEF CON 和 Black Hat 安全会议旁边,还有一个更小、更亲密的 BSides Las Vegas 会议。今年的会议展示了很多未能进入 Black Hat 的演讲,报名费仅需 100 美元,价格相对低廉。
今年 BSides 的一个共同主题是 错误配置。在会议的首日8 月 8 日,星期二,我们看到的两场演讲都探讨了开发人员如何因为未正确理解实施原则或编码不当而破坏安全协议及做法。
密码无需验证的危险性
HYPR 的应用安全负责人 Aldo Salas 在会议开场时,就如何不当配置密码无需验证技术做了详细说明。
密码无需验证的安全性并不低于使用密码, Salas 说,然而,存在著漏洞,却没有人在讨论它们。
他指出,密码无需验证界面的部署可能会很困难,且其文档中可能会遗漏重要的安全性细节。
例如,Salas 提到 WebAuthn 在为帐户新增身份验证器时需要使用者名称、显示名称及用户 ID。然而在 Salas 引用的一个实作中,该网页应用并没有对这些值进行伺服器端检查,导致已认证的攻击者可借此操控参数夺取帐户。
该应用完全遵循了 WebAuthn 规范, Salas 提到,但该规范并未明确提到这些数据不应受信任。还有多少其他应用在未进行额外检查的情况下实类似实施?缺乏安全意识的开发者可能会按照规范进行设置却缺乏补充的安全步骤。
此外,Salas 指出,当注册新用户帐户时,密码无需验证的应用可能不检查该帐户是否已存在。如果存在,则应用会将另一个已认证用户添加到现有帐户中。
Salas 担心开发者和管理者可能错误认为密码无需验证可以解决所有安全问题,但这并不能解决 不安全的直接物件参考IDOR、参数篡改、泄漏的 API 或软件供应链问题。
使用密码无需验证的应用仍然容易受到常见网页应用安全漏洞的影响, Salas 说。他强调,开发者需要强化其软体开发生命周期,并使用手动和自动的应用安全测试。我提到的所有缺陷都是人为发现的,而不是自动工具的结果, Salas 补充道。
闪电加速器安卓扫描器的不足
糟糕的编码习惯同样是 漏洞扫描器 和 软体组成分析SCA工具可能无法
