A2 - Chybná autentizace a správa relace

A2 - Chybná autentizace a správa relace (Broken Authentication and Session Management)

Zranitelnosti umožňující napadení funkcí aplikace, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele. Funkce, které se vztahují k ověřování a řízení relace, často nejsou vytvořeny správně, což útočníkům umožňuje napadnout hesla, tokeny relací, klíče, session aj.

    Původce hrozbyVektor útokuBezpečnostní slabinaTechnické dopadyObchodní dopady
    Aplikační specifikumZneužitelnost
    průměrná
    Rozšíření
    rozsáhlé
    Zjistitelnost
    průměrná
    Dopad
    vážný
    Aplikační / obchodní specifikum
    Vezměte v úvahu anonymní externí útočníky i uživatele s vlastními účty, kteří se mohou pokusit ukrást účty jiných uživatelů. Také vezměte v úvahu interní uživatele, kteří chtějí zakrýt své činy.Útočník využívá úniky nebo trhliny v autentizaci či ve funkcích správy relace (např. nechráněné účty, hesla a identifikátory relace) k tomu, aby se vydával za uživatele.Vývojáři často vytvářejí vlastní řešení autentizace a schémata správy relace, přestože jejich správné vytvoření je těžké. V důsledku toho mají tato vlastní řešení často nedostatky v odhlášení, správě hesel, době platnosti, zapamatování si přihlášení, tajných otázkách, aktualizacích účtu a podobných oblastech. Nalezení takových nedostatků někdy může být obtížné, protože každá implementace je jedinečná.Tyto chyby mohou umožnit napadení některých, či dokonce všech účtů. Když se útok podaří, útočník může provádět vše, co může dělat oběť. Častým cílem jsou privilegované účty.Vezměte v úvahu obchodní hodnotu dotčených dat nebo funkcí aplikace. Také zvažte obchodní dopad zveřejnění zranitelnosti.
    Jsem zranitelný vůči „chybné autentizaci a správě relace“?

    Jsou aktiva správy relací, např. přihlašovací údaje uživatelů a ID relace, náležitě chráněna? Můžete být ohroženi, pokud:

    • 1. Autentizační údaje uživatelů nejsou při ukládání chráněny pomocí hashování nebo šifrování, viz A6.
    • 2. Údaje lze uhodnout nebo přepsat pomocí slabých funkcí pro správu účtu (např. vytvoření účtu, změna hesla, obnovení hesla, slabé ID relace).
    • 3. ID relací jsou odhalena v URL (např. rewriting URL).
    • 4. ID relací jsou zranitelné na útoky session fixation.
    • 5. ID relací nemají nastavenu dobu platnosti, nebo tokeny uživatelské relace či autentizační tokeny, zejména autentizační tokeny Single Sign-On (SSO), nejsou správně zneplatněny při odhlášení.
    • 6. Po úspěšném přihlášení se nemění ID relací.
    • 7. Hesla, ID relací a další autorizační údaje jsou posílány nešifrovaným spojením.
    Další informace viz v požadavcích oblastí V2 a V3 ASVS.
    Jak mohu předejít „chybné autentizaci a správě relace“?

    Hlavním doporučením pro organizaci je dát vývojářům přístup:

    • 1. k jednotné sadě silného řízení autentizace a správy relací. Tato sada by měla usilovat o:
    • 2. S velkým úsilím by se mělo zabránit zranitelnostem XSS, pomocí nichž může být ukradeno ID relace, viz A3.
    Příklady možných útoků

    Příklad č. #1: Rezervační aplikace aerolinek podporuje URL rewriting a vkládá do URL ID relace:

    http://example.com/sale/saleitems
    ;jsessionid=2P0OC2JSNDLPSKHCJUN2JV
    ?dest=Hawaii

    Autentizovaný uživatel webové aplikace chce poslat informace o nabídce svým přátelům. Pošle jim e-mailem výše uvedený odkaz, aniž by věděl, že zároveň odesílá ID své relace. Když jeho přátelé použijí tento odkaz, použijí také jeho relaci a kreditní kartu.

    Příklad č. #2: Nejsou správně nastaveny doby platností relací. Uživatel používá pro přístup k některému webu veřejný počítač. Místo toho, aby se odhlásil tlačítkem „Odhlásit“, jen zavře záložku prohlížeče a odejde. Útočník o hodinu později použije stejný prohlížeč – a předchozí uživatel je stále přihlášen v aplikaci.

    Příklad č. #3: Interní či externí útočník získá přístup k databázi hesel systému. Uživatelská hesla nejsou patřičně hashována, a tak útočník vidí hesla všech uživatelů.

    Odkazy
    OWASP:

    Další informace o požadavcích a problémech spojených s tímto rizikem viz v ASVS requirements areas for Authentication (V2) and Session Management (V3).

    Externí:
    Více informací o Chybné autentizaci a správě relace v angličtině