Перейти к содержанию

Broken Authentication

Недоработка вопросов обеспечения безопасности такой важной составляющей как аутентификация и управление сессиями приводят к уязвимости этих механизмов.

Для авторизации/аутенификации в web приложениях как правило используется логин/пароль. Для управления сессиями в web приложениях используется session и другие виды cookies. После успешной авторизации/аутентификации сервер передает клиенту сформированный кукис, а у себя хранит данные которые позволяют однозначно идентифицировать его владельца. Некоторыми примерами broken authentication являются брутфорс, подбор простых паролей по списку частых паролей, раскодирование плохо закодированных кукис.

В качестве простого примера - атака основанная на регистрации уже существующего аккаунта с добавлением перед логином пробела. В виду того, что не применялось санирование введенных данных, удастся зарегистрироваться, однако фактически будет получен доступ к аналогичной учетной записи без пробела.

Способы противодействия

Парольная политика, автоматическая блокировка при переборе, MFA, надежный алгоритм шифрования cookies, надежные методы механизма восстановления доступа.