Press "Enter" to skip to content

OWASP WSTG: Testování slabší autentizace v alternativním kanálu (WSTG-ATHN-10)

Níže nabízím překlad z Home > Stable > 4-Web Application Security Testing > 04-Authentication Testing > Testing for Weaker Authentication in Alternative Channel

Shrnutí

I když primární autentizační mechanismy neobsahují žádné zranitelnosti, mohou existovat zranitelnosti v alternativních legitimních uživatelských autentizačních kanálech pro stejné uživatelské účty. Testy by měly být prováděny za účelem identifikace alternativních kanálů a, podle rozsahu testu, odhalení zranitelností.

Alternativní uživatelské interakční kanály mohou být využity k obejití primárního kanálu nebo k odhalení informací, které mohou být následně využity k útoku na primární kanál. Některé z těchto kanálů mohou být samostatné webové aplikace využívající různé hostnames nebo cesty. Například:

  • Standardní webová stránka
  • Mobilní nebo na konkrétní zařízení optimalizovaná stránka
  • Webová stránka optimalizovaná pro přístupnost
  • Alternativní stránky pro různé země a jazyky
  • Paralelní webové stránky, které využívají stejné uživatelské účty (např. další webová stránka nabízející odlišnou funkcionalitu téže organizace, partnerská stránka sdílející uživatelské účty)
  • Vývojové, testovací, UAT a stagingové verze standardní webové stránky

Mohou to však být také jiné typy aplikací nebo obchodních procesů:

  • Mobilní aplikace
  • Desktopová aplikace
  • Operátoři call centra
  • Interaktivní hlasové systémy nebo telefonní stromové systémy

Cílem tohoto testu je zaměřit se na alternativní kanály; některé autentizační alternativy mohou být doručovány jako jiný obsah přes stejnou webovou stránku, a téměř jistě by měly být zahrnuty do testování. Tyto kanály zde nebudou dále diskutovány a měly by být identifikovány během shromažďování informací a testování primární autentizace. Například:

  • Postupné obohacování a postupná degradace, které mění funkcionalitu
  • Použití stránky bez cookies
  • Použití stránky bez JavaScriptu
  • Použití stránky bez pluginů jako Flash a Java

I když rozsah testu neumožňuje testování alternativních kanálů, jejich existence by měla být zdokumentována. Mohou oslabit míru zajištění autentizačních mechanismů a mohou být předzvěstí dalších testů.

Příklad

Primární webová stránka je http://www.example.com a autentizační funkce se vždy odehrávají na stránkách využívajících TLS https://www.example.com/myaccount/.

Nicméně existuje samostatná mobilní optimalizovaná stránka, která vůbec nepoužívá TLS a má slabší mechanismus pro obnovení hesla http://m.example.com/myaccount/.

Cíle testu

  • Identifikovat alternativní autentizační kanály.
  • Zhodnotit bezpečnostní opatření a zda v alternativních kanálech neexistují nějaké obchvaty.

Jak testovat

Porozumění primárnímu mechanismu

Plně otestujte primární autentizační funkce webu. To by mělo identifikovat, jak jsou účty vydávány, vytvářeny nebo měněny a jak jsou obnovována, resetována nebo měněna hesla. Kromě toho by měla být známa jakákoli autentizace s vyššími oprávněními a ochranná opatření autentizace. Tyto předpoklady jsou nutné k tomu, aby bylo možné porovnat alternativní kanály.

Identifikace jiných kanálů

Jiné kanály lze najít pomocí následujících metod:

  • Čtením obsahu stránek, zejména úvodní stránky, stránky „Kontaktujte nás“, stránek nápovědy, podpůrných článků a FAQ, podmínek služby, zásad ochrany osobních údajů, souboru robots.txt a jakýchkoli souborů sitemap.xml.
  • Prohledáváním záznamů HTTP proxy, zaznamenaných během předchozího shromažďování informací a testování, na řetězce jako „mobile“, „android“, „blackberry“, „ipad“, „iphone“, „mobile app“, „e-reader“, „wireless“, „auth“, „sso“, „single sign on“ v cestách URL a obsahu těla zprávy.
  • Použitím vyhledávačů k nalezení různých webových stránek téže organizace nebo používajících stejnou doménu, které mají podobný obsah úvodní stránky nebo které také mají autentizační mechanismy.

Pro každý možný kanál ověřte, zda jsou uživatelské účty sdíleny mezi nimi nebo zda poskytují přístup ke stejné nebo podobné funkcionalitě.

Enumerace autentizační funkce

Pro každý alternativní kanál, kde jsou uživatelské účty nebo funkcionalita sdíleny, identifikujte, zda jsou dostupné všechny autentizační funkce primárního kanálu a zda neexistuje něco navíc. Může být užitečné vytvořit mřížku, jako je ta níže:

PrimárníMobilníCall CentrumPartnerská stránka
RegistraceAno
PřihlášeníAnoAnoAno (SSO)
Odhlášení
Reset heslaAnoAno
Změna heslaAno

V tomto příkladu má mobilní verze extra funkci „změna hesla“, ale nenabízí „odhlášení“. Omezený počet úkolů je také možný prostřednictvím telefonního call centra. Call centra mohou být zajímavá, protože jejich identifikační kontrolní mechanismy mohou být slabší než na webu, což umožňuje tento kanál použít k podpoře útoku na uživatelský účet.

Při vyjmenovávání těchto funkcí stojí za to si všimnout, jak je spravována relace, pokud existuje překrytí mezi kanály (např. cookies zahrnující stejné jméno nadřazené domény, povolení souběžných relací napříč kanály, ale ne ve stejném kanálu).

Kontrola a testování

Alternativní kanály by měly být zmíněny ve zprávě z testování, i když jsou označeny jako „pouze pro informace“ nebo „mimo rozsah“. V některých případech může testovací rozsah zahrnovat alternativní kanál (např. protože se jedná jen o jinou cestu na cílovém hostname), nebo může být po diskusi s vlastníky všech kanálů přidán do rozsahu. Pokud je testování povoleno a autorizováno, měly by být provedeny všechny další autentizační testy z této příručky a porovnány s primárním kanálem.

Související testovací případy

Testovací případy pro všechny ostatní autentizační testy by měly být použity.

Náprava

Zajistěte, aby byla napříč všemi kanály aplikována konzistentní autentizační politika, aby byly všechny stejně bezpečné.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *