OWASP Top 10: A2 Сломанная аутентификация и управление сеансами

Уязвимость в неработающей аутентификации и управлении сеансами позволяет злоумышленникам либо перехватывать, либо обходить методы аутентификации, используемые веб-приложением.Воздействие будет серьезным, поскольку злоумышленник может войти в учетную запись как обычный пользователь.

При посещении веб-сайта для доступа к вашей информации вам необходимо войти в систему. Чтобы пройти этот этап, вам необходимо указать

правильные значения имени пользователя и пароля.После отправки этой информации генерируется уникальное значение, называемое идентификатором сеанса, которое привязывается к вашим учетным данным, чтобы отслеживать вас во время входа в приложение. Обычно это значение представляет собой строку случайных букв и цифр, как показано внизу слайда.

Возможные пути сбоя веб-приложения

• Незашифрованные соединения.
• Поощряйте пользователей использовать надежные пароли.
• Быстрое завершение сеансов.
• Внедрите ограничение скорости входа в систему, блокировку и хеширование паролей.
• Идентификатор сеанса используется в URL.

Незашифрованные соединения:

Если соединение, используемое между вами и веб-приложением, не зашифровано, передаваемые данные может видеть любой.
Это означает, что ВСЯ ИНФОРМАЦИЯ, которую вы отправляете и получаете между вами и сайтом, может быть перехвачена без вашего ведома.

Не удается защитить имя пользователя, пароль, конфиденциальные данные и идентификаторы сеанса.

Шифрование запросов, содержащих конфиденциальные данные, может предотвратить перехват этой информации злоумышленниками.

Поощряйте пользователей использовать надежные пароли

Слабые имя пользователя и пароли легко угадываются злоумышленниками, чтобы получить несанкционированный доступ.

Мы можем предотвратить эту уязвимость, заставив пользователей иметь надежные пароли.

Быстрое завершение сеансов

Приложение не отменяет сеанс по истечении определенного промежутка времени или даже после выхода из системы.

Аннулируйте идентификатор сеанса по истечении заранее определенного времени или при выходе из системы.

Реализовать ограничение скорости входа в систему, блокировку и хеширование паролей

Если сохраненные пароли украдены неуполномоченным лицом, если защита не предусмотрена и значения будут видны в виде обычного текста.

Чтобы предотвратить уязвимость, сохраненный пароль должен быть защищен и хэширован в дополнение к шифрованию.

Идентификатор сеанса, используемый в URL-адресе

Значение идентификатора сеанса передается в URL-адресе, где злоумышленник может его увидеть, что не позволяет защитить значение идентификатора сеанса.

Чтобы предотвратить уязвимость, убедитесь, что конфиденциальная информация отправляется в основной части запроса post.

Давайте взглянем на пример URL-адреса: 

http://192.168.242.137/login.jsp?sessionid=abc12345df