Vulnerabilidades
Autenticação quebrada
Também conhecido como: Falhas de identificação e autenticação, Bypass de autenticação
Definição
Categoria de vulnerabilidades em que falhas de autenticação ou gestão de sessão permitem a um atacante personificar utilizadores legítimos ou assumir contas.
Exemplos
- Aplicação que coloca IDs de sessão no URL e não os renova após o login.
- Redefinição de senha com token numérico de 4 dígitos enviado por e-mail.
Termos relacionados
Controlo de acesso quebrado
Classe de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios.
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
Sequestro de sessão
Ataque que assume a sessão autenticada de uma vítima ao roubar ou forjar o seu identificador de sessão, permitindo ao atacante agir como o utilizador sem as credenciais.
Session Fixation
Session Fixation — definition coming soon.
Autenticação multifator (MFA)
Método de autenticação que exige dois ou mais fatores independentes — geralmente de categorias diferentes — antes de conceder acesso.
OWASP Top 10
OWASP Top 10 — definition coming soon.