Атаки на авторизацию пользователя
Классификация атак
- Предсказание идентификатора сеанса
- Фиксация сеанса
- Недостаточная авторизация
- Отсутствие таймаута сеанса
Предсказание идентификатора сеанса
- Идентификатор сеанса – то что остается после аутентификации
- Идентификатор сеанса играет роль логин-пароля
- Что сложнее предсказать, пароль или этот идентификатор?
Если пароль, то лучше брутить Session ID
Защита: - блокировка после неудачных попыток
- использование трудно-предсказуемых Session ID
Фиксация сеанса
- Идентификатор сеанса – то что остается после аутентификации
- Идентификатор сеанса играет роль логин-пароля
- Можно ли заранее установить идентификатор сеанса?
Если да, то можно предложить пользователю ссылку с Session ID
Защита: - пользователю не следовать присланным ссылкам
- использование зависимых от аутентификации Session ID
Недостаточная авторизация
Защита: - авторизация на содержимом
- ограничения по IP
- проверка ввода пользователя
Отсутствие таймаута сеанса
- Идентификатор сеанса – то что остается после аутентификации
- Идентификатор сеанса играет роль логин-пароля
- Сколько времени действителен идентификатор сеанса?
Если вечен, то можно использовать повторно много раз
Защита: - пользователю не пользоваться приложением на публичных компьютерах
- установить время жизни Session ID
