Vulnerabilidades
Autenticación rota
También conocido como: Fallas de identificación y autenticación, Bypass de autenticación
Definición
Categoría de vulnerabilidades en la que fallos de autenticación o gestión de sesión permiten al atacante suplantar a usuarios legítimos o tomar cuentas.
Ejemplos
- App que emite IDs de sesión en la URL y no los rota tras el login.
- Restablecimiento de contraseña con un token numérico de 4 dígitos enviado por correo.
Términos relacionados
Control de acceso roto
Clase de vulnerabilidades en la que las reglas de autorización faltan o se aplican mal, permitiendo a los usuarios acciones o datos fuera de sus privilegios.
Relleno de credenciales
Ataque automatizado que reutiliza grandes listas de usuario/contraseña filtradas en un servicio contra otros, explotando la reutilización de contraseñas para tomar cuentas.
Secuestro de sesión
Ataque que toma el control de la sesión autenticada de una víctima robando o falsificando su identificador de sesión, para actuar como el usuario sin sus credenciales.
Session Fixation
Session Fixation — definition coming soon.
Autenticación multifactor (MFA)
Método de autenticación que requiere dos o más factores independientes —normalmente de categorías distintas— antes de conceder acceso.
OWASP Top 10
OWASP Top 10 — definition coming soon.