Ciekawostki

#od0dopentestera Kontynuujemy…

#od0dopentestera Kontynuujemy 10 odcinkowy kurs bezpieczeństwa aplikacji internetowych dla początkujących programistów.
Dziś A2: Broken Authentication – Niepoprawna obsługa uwierzytelniania.

W tej kategorii chodzi głównie o rzeczy powiązane z rejestracją i logowaniem.
Na pierwszy rzut oka może się wydawać, że potencjalnych błędów tego rodzaju będzie mało – ale to nieprawda.
Programista musi bowiem zabezpieczyć proces rejestracji – począwszy od sprawdzenia słabych haseł a skończywszy na poprawnym zaimplementowaniu ich odzyskiwania.
Hasła muszą następnie zostać bezpieczne zapisane na przykład w bazie danych – tutaj kłania się haszowanie przy pomocy funkcji jednokierunkowych wraz z losowymi solami.
Gdy użytkownik posiada już konto – może się zalogować.
Ile razy może błędnie podać swoje dane logowania?
Jak zabezpieczyć się przed botami przy użyciu mechanizmu captchy?
Czy użyty został dodatkowy mechanizm dwuskładnikowego uwierzytelnienia – na przykład przy pomocy kodów SMS?
A może któryś z endpointów API nie wspiera tego mechanizmu co sprawia, że staje się on bezużyteczny?
Gdy dane zostaną już prawidłowo sprawdzone – należy wygenerować identyfikator sesji, na podstawie którego użytkownik będzie rozpoznawany w systemie.
Czy jest on dostatecznie losowy i unikalny?
A może opiera się na mailu lub też innej stałej co może doprowadzić do zalogowania się na konto innego użytkownika?
Zazwyczaj identyfikator ten jest przechowywany w ciasteczkach.
One to powinny mieć ustawioną flagę HttpOnly – tak aby nie można się było do nich dostać z poziomu kodu #javascript.
Na koniec – wylogowanie z systemu powinno być nieodwracalne – to znaczy sesje należy zniszczyć, aby nie można się było przy jej pomocy ponownie zalogować.
A może sesja nie jest niszczona a tylko usuwane jest ciasteczko po stronie użytkownika?
Zapraszam do materiału wideo.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k