Help us learn about your current experience with the documentation. Take the survey.
通过 HTTP 进行的不安全身份验证 (摘要认证)
描述
目标应用被发现通过 HTTP 使用摘要认证(Digest Authentication)方案对用户进行身份验证。
摘要认证(Digest Authentication)使用不安全的哈希算法(MD5)对用户名和密码进行哈希处理,并将其发送在 Authentication 头部中。位于客户端和服务器通信路径之间(或在同一本地网络)的攻击者可以使用数据包嗅探器(packet sniffers)来修改服务器的响应参数,从而降低摘要访问认证模式的安全性。此外,服务器通常会存储哈希后的凭证,通常在一个名为 .htpasswd 的文件中。有现成的工具可以破解这些密码。
修复建议
如果可能,请切换到更强大的用户身份验证方法,例如 OAuth 2.0,或者将用户名和密码存储在由 Argon2id 算法保护的数据存储中。如果必须使用摘要认证(Digest Authentication),请确保凭证仅在 HTTPS/TLS 等安全通道上传输。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 287.2 | false | 287 | Passive | Low |