Az OWASP Top 10 kiadvány a webes alkalmazásokban előforduló leggyakoribb sérülékenységek gyűjteménye. A következő bejegyzés sorozatban bemutatjuk ezeket a hibákat és a bennük rejlő kockázatokat.
A sérülékenység háttere
Az alkalmazás nem azonosítja megfelelően a felhasználóit, valamint nem menedzseli megfelelően a munkamenetet.
A hiba a nem megfelelő tervezésből ered. Leggyakrabban a következő hibák fordulnak elő:
- Az alkalmazás elfogad gyenge jelszavakat.
- Az alkalmazás nem rendelkezik brute force védelemmel.
- Az alkalmazás nem biztonságos jelszó visszaállítást alkalmaz.
- Az alkalmazás munkamenete nem jár le.
- Az alkalmazás Session ID-t küld GET kérésen keresztül.
- Az alkalmazás munkamenete nem jár le.
- Az alkalmazás nem biztonságosan tárolja a jelszavakat.
Kockázat
Egy támadó hozzáférhet jogosulatlanul az alkalmazáshoz, felhasználói adatokat lophat, bizalmas információkat szivárogtathat ki. Egy adminisztrátori fiók kompromittálása esetén, teljesen átveheti az uralmat az applikáció felett.
Tesztelés
Az ilyen jellegű sérülékenységek könnyen felismerhetőek manuális sérülékenység vizsgálat segítségével.
Megelőzés
- A gyenge jelszavak tiltása.
- Kétlépcsős azonosítás implementálása.
- A munkamenetek érvénytelenítése.
- Szerver oldali, biztonságos Session menedzser implementálása.
- A jelszavak biztonságos, hash-elt tárolása.