Drugim najczęściej występującym problemem bezpieczeństwa aplikacji internetowych jest błędnie zaimplementowana autoryzacja użytkowników.
Kiedy aplikacja może być podatna na ten rodzaj ataku?
- aplikacja zezwala na proste hasła, które są dobrze znane (np. admin123)
- domyślne hasło dla administratora nie zostało zmienione podczas implementacji rozwiązania u klienta
- brak zabezpieczenia przed atakami typu brute-force
- brak możliwości użycia logowania wieloetapowego (np. za pomocą hasła i SMSa)
- odzyskiwanie hasła za pomocą metod pamięciowych (np. pytania typu jak się nazywało Twoje pierwsze zwierze)
- użycie słabych algorytmów szyfrowania haseł w bazie, przechowywanie ich w formie tekstu
- Brak zarządzania sesjami użytkowników. Sesja nie wygasa co powoduje możliwość jej przejęcia przez atakującego.
W jaki sposób można się zabezpieczyć przed tym typem zagrożenia?
- zmień domyślne hasła przed wgraniem systemu na produkcję
- użyj algorytmów sprawdzających siłę i składnię hasła które chce użyć użytkownik, wymuś stosowanie silnych haseł
- wprowadź możliwą ilość błędnych logowań do systemu, bądź też wprowadź czasowy odstęp miedzy ponownymi próbami logowania. Dodaj alerty w systemie monitorującym w przypadku gdy ktoś próbuje w kółko logować się używając błędnego hasła
- zaimplementuj wieloetapową autoryzację
- logika odzyskiwania hasła, podobnie jak autoryzacja może przebiegać wieloetapowo
- zarządzanie sesjami użytkowników powinno odbywać się tylko na serwerze aplikacji. Nie twórz własnych rozwiązań do generowania sesji - użyj gotowych, dopracowanych rozwiązań.
Brak komentarzy:
Prześlij komentarz