Press "Enter" to skip to content

OWASP WSTG: Testování zranitelnosti funkce „Zapamatovat si heslo” (WSTG-ATHN-05)

Published 20/10/2024 by Oxford

Níže nabízím překlad z Home > Stable > 4-Web Application Security Testing > 04-Authentication Testing > Testing for Vulnerable Remember Password

Shrnutí

Přihlašovací údaje jsou nejrozšířenější technologií autentizace. Kvůli širokému používání dvojic uživatelského jména a hesla uživatelé již nejsou schopni správně spravovat své přihlašovací údaje napříč velkým množstvím aplikací.

Aby se uživatelům usnadnila správa jejich přihlašovacích údajů, vzniklo několik technologií:

  • Aplikace poskytují funkci „zapamatovat mě“, která umožňuje uživateli zůstat autentizovaný po dlouhou dobu, aniž by byl znovu dotazován na své přihlašovací údaje.
  • Správci hesel – včetně správců hesel v prohlížečích – umožňují uživatelům bezpečně ukládat jejich přihlašovací údaje a později je automaticky vkládat do formulářů bez zásahu uživatele.

Cíle testu

  • Ověřit, že vygenerovaná relace je spravována bezpečně a neohrožuje uživatelovy přihlašovací údaje.

Jak testovat

I když tyto metody zlepšují uživatelský zážitek a umožňují uživatelům zapomenout na své přihlašovací údaje, zvyšují také potenciální povrch útoku. Některé aplikace:

  • Ukládají přihlašovací údaje v zakódované formě v úložných mechanismech prohlížeče, což lze ověřit podle scénáře testování webového úložiště a projít si scénáře analýzy relací. Přihlašovací údaje by neměly být žádným způsobem ukládány v aplikaci na straně klienta a měly by být nahrazeny tokeny generovanými na straně serveru.
  • Automaticky vkládají uživatelovy přihlašovací údaje, což může být zneužito pomocí:
    • Útoků ClickJacking.
    • Útoků CSRF.
  • Tokeny by měly být analyzovány z hlediska doby platnosti, přičemž některé tokeny nikdy nevyprší a ohrožují uživatele, pokud by tyto tokeny byly někdy odcizeny. Ujistěte se, že jste prošli scénářem testování vypršení platnosti relace.

Náprava

Dodržujte osvědčené postupy správy relací.
Zajistěte, aby žádné přihlašovací údaje nebyly uloženy v čistém textu nebo nebyly snadno získatelné v zakódované nebo zašifrované formě v úložných mechanismech prohlížeče; měly by být uloženy na straně serveru a v souladu s osvědčenými postupy pro ukládání hesel.

Published in Kyberbezpečnost

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *