Schwachstellen
Defekte Authentifizierung
Auch bekannt als: Identifikations- und Authentifizierungsfehler, Authentifizierungs-Bypass
Definition
Schwachstellenkategorie, in der Fehler bei Authentifizierung oder Sitzungsverwaltung es Angreifern erlauben, legitime Nutzer zu impersonieren oder Konten zu übernehmen.
Beispiele
- App, die Session-IDs in der URL überträgt und nach Login nicht rotiert.
- Passwort-Reset mit 4-stelligem Zahlentoken per E-Mail.
Verwandte Begriffe
Defekte Zugriffskontrolle
Schwachstellenklasse, in der Autorisierungsregeln fehlen oder falsch durchgesetzt werden, sodass Benutzer Aktionen oder Daten außerhalb ihrer Rechte erreichen.
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
Session Hijacking
Angriff, der die authentifizierte Sitzung eines Opfers übernimmt, indem die Session-ID gestohlen oder gefälscht wird, sodass der Angreifer ohne Zugangsdaten als Nutzer agieren kann.
Session Fixation
Session Fixation — definition coming soon.
Multi-Faktor-Authentifizierung (MFA)
Authentifizierungsverfahren, das vor der Zugriffsfreigabe mindestens zwei unabhängige Faktoren – meist aus unterschiedlichen Kategorien – verlangt.
OWASP Top 10
OWASP Top 10 — definition coming soon.