نوشته‌شده در

احراز هویت – ID شناسایی اتصال: دوم ID-Token تنها دارای ویژگی "sub" است

من راه حل client-IAM را با استفاده از WSO2 Identity Server 4.5.1 راه اندازی می کنم. یکی از (چند) برنامه های کاربردی که با من از طریق Open ID ارتباط برقرار می کنند، یک رفتار غیرمنتظره را کشف کرده اند، و اگر برای رفتار Open Id Connect مناسب است یا اگر محصول اشتباه رفتار می کند، نیاز به کمک دارد.

هنگامی که کاربر تأیید هویت می کند، شناسه شناسایی و مجوز-کد بازگردانده می شود. ID_Token شامل تمام ویژگی های کاربر و نقش های قابل اجرا است، و بنابراین نقطه پایانی Userinfo اگر درخواست پس از رونویسی کد رد و بدل شود. یک دوره زمانی که برنامه میخواهد جلسه خود را تازه کند و کاربر را به OP بازگرداند تا یک شناسه جدید شناسایی کند. این کار می کند، اما به دلایلی، ID-Token (و نقطه پایانی Userinfo) فقط "زیر" را در این رویکرد دوم به نمایش می گذارد.

Q: آیا این کار چگونه OIDC قرار است کار کند؟

از شما متشکرم .

PS.
رفتار عجیب دیگر که متوجه شدم (ممکن است به نوعی مرتبط با آن باشد) این است که access_tokens که در طول مبادله کد ایجاد شده برای این برنامه طول عمر 300.000 ثانیه را دارد. بیش از آنچه که من تنظیم کرده ام (هر جا!). هنگامی که access_tokens از طریق کمک ضمنی ارائه می شود اتفاق نمی افتد. من نمیتوانم دلیل دلیلی برای این اتفاق بیافتم، اما اگر وجود داشته باشد، خوشحال خواهم شد که آن را بشنوم.
DS

نوشته‌شده در

احراز هویت – حفاظت از کاربر از دسترسی غیر مجاز

بنابراین ما در حال برنامه ریزی برای اضافه کردن یک ویژگی به برنامه ما است که شبیه آنچه گوگل انجام می دهد، اما کمی سخت تر:

  1. شما لیستی از جلسات که به عامل کاربر و آدرس IP (؟) ( گوگل یک مکان را نشان می دهد)
  2. 2FA مورد نیاز است تنها زمانی که شما سعی می کنید از یک دستگاه که برای 30 روز گذشته تایید نشده است وارد شوید.
  3. اگر تلاش ورود به سیستم از یک جفت کاربر / agent / IP جدید ساخته شود ، ما می خواهیم یک پیوند را با یک نشانه برای آدرس ایمیل خود برای تأیید ورود به سیستم ارسال کنیم.
  4. هنگامی که روی پیوند کلیک می کنند، اگر 2FA فعال باشد، خواهیم از 2FA برای تایید ورود به سیستم

چند چیز ما در مورد:

  1. با ایجاد کاربر اقدام به تایید ورود به سیستم، به جای گوگل که در آن فقط به شما می گوید از ورود … ما امیدواریم برای جلوگیری از تعداد بیشتری از ورود به سیستم های غیر مجاز. (در حال حاضر ما هر بار که کاربر وارد سیستم می شود، هر بار که وارد سیستم می شود، ما به آنها عامل کاربر و منطقه می گوئیم.)
  2. با درخواست از 2FA برای استفاده از لینک، ما امیدواریم که بیشتر از ورود نامحدود محافظت کنیم (در حالی که می توانید از طریق ایمیل دسترسی، ما قبل از ورود به صفحه برای ورود به گذرواژه جدید بعد از کلیک روی پیوند بازنشانی، باید قبل از ورود به سیستم 2FA را مجددا اتخاذ کنیم.)
  3. بزرگترین نگرانی ما این است که ما به طور تصادفی اشتباه نمیکنیم و برخی از کاربران باید پرش کنند از طریق این حلقه یک میلیارد بار در همان جلسه، زیرا حامل تلفن همراه خود را به طور مداوم IP خود را تغییر دهید … و غیره

بنابراین من متوجه است که محدودیت IP بر اساس احتمالا خیلی خوب نیست … بنابراین شاید نگاه کردن منطقه از طریق IP و فقط سفید لیست منطقه؟ اما پس از آن یک هکر فقط می تواند به راحتی عامل کاربر را فریب دهد و از یک پروکسی استفاده کند.

توجه: من درک می کنم این ما توقف همه برای امنیت نیست، اما ما می خواهیم این لایه را اضافه کنیم تا موارد دسترسی غیر مجاز را کاهش دهیم.

سوال من: چه مدل کلی برای محدودیت جلسه / ورود به یک توازن خوب بین "جلوگیری از هکرها / jerks جدید از ورود به سیستم به عنوان شما زمانی که رمز عبور خود را حدس زد / فیشش آن" و "کاربر مزاحم همیشه با لینک های پست الکترونیکی "؟

نوشته‌شده در

احراز هویت – خطرات امنیتی مربوط به تولید یک رشته امنیتی به عنوان یک رشته، به جای یک تصویر چیست؟

در کار ما با استفاده از یک سیستم تأیید اعتبار به نام Swivel Secure بدون پیاده سازی به طور خاص هنگام اتصال به دستگاه های مشتریان ما مانند روترها، سوئیچ ها، فایروال ها و غیره باید یک OTC (برای 2FA البته)

اتصال به یک سوئیچ باید ارائه دهد: نام کاربری، گذرواژه و OTC به منظور دریافت OTC ما باید یک پیوند را ایجاد کنیم که تصویر را تولید می کند (نگاه کنید به مثال زیر)

یک پیوند معمولا به شیوه زیر نمایش داده می شود – https: // PinSecurity .StackExchange.com: 8443 // proxy / SCImage؟ username = JoshJones

Image String Image

اگر شما با یک تصویر تورینگ آشنا هستید، اساسا هر کاربر یک پین (که می تواند باشد تغییرات) عدد های بالا مربوط به اعداد است که می تواند در پین کاربران استفاده شود و اعداد پایین اعداد مورد نیاز برای احراز هویت موفق هستند.

به عنوان مثال: اگر پین من 1234 با استفاده از تصویر بالای OTC من برای تأیید صحت موفق 3087 باشد.

در Swivel یک گزینه وجود دارد که به شما اجازه می دهد که آن SCImage را فقط یک رشته با استفاده از SCIMage با SCText ، من از یک توسعه دهنده در Swivel در مورد این سوال خواسته بودم و او گفت: "به طور پیش فرض غیر فعال شده است زیرا به طور ذاتی ناامن است." من این بیانیه را بسیار مبهم یافتم و متاسفانه او هرگز به درخواست خود برای گسترش پاسخ نمی دهد.

دقیقا همان چیزی است که ناامن برای ایجاد رشته امنیتی به عنوان متن؟ من متوجه شدم که در کامپایلر آن به راحتی قابل خواندن است، شما می توانید فقط HTML را برای گرفتن رشته امنیتی از بین ببرید در حالی که با تصویر شما باید از نوعی نرم افزار / کتابخانه OCR برای به دست آوردن شخصیت های تصویر استفاده کنید که می تواند بسیار سخت باشد به خصوص اگر تصویر بسیار سقوط کرده است.

بنابراین چگونه آن را امن تر برای تولید این رشته امنیتی به عنوان متن؟ حتی این که شما می توانید تمام ترکیبات را تکرار کنید، زیرا مکانیسم قفل کردن روی بازخوانی های زیادی وجود دارد، بنابراین شما نمی توانید کسی را بدون ذهنتان حدس بزنید، و غیره.

اگر کسی بتواند این را برای من روشن کند که عالی باشد. انتظار دارم که چیزی از دست رفته و فقط به درستی فکر نکنم

نوشته‌شده در

نرم افزار وب – احراز هویت نیکو

من سعی می کنم یک بازی جنگی بر روی هک های ناشی از جهنم را تکمیل کنم.

من مایل به استفاده از اسکنر nikto برای چک کردن برخی صفحات برای آسیب پذیری ها هستم، اما برای اولین بار باید وارد بازی جنگ هک شدگان هکرها شدم و سپس شروع شد اسکن قلم آزمون 1 چالش

در اینجا URL مربوط به چالش خاص:

https://www.hellboundhackers.org/challenges/pentest/pentest1/index.php

فرمان من در حال تلاش برای استفاده از این، با این حال اسکنر در حال حرکت به سمت صفحه فهرست است https://www.hellboundhackers.org که ناامید کننده است به عنوان من می خواهم برای اسکن /challenge/pentest/pentest1/index.php . من معتقدم که این به این دلیل است که بخشی از احراز هویت -id + به درستی کار نمی کند؟ 

 nikto -ssl -id username: password -h https://www.hellboundhackers.org/challenges/pentest/pentest1/ index.php؟

متشکرم.