Нарушенная аутентификация
Что такое Нарушенная аутентификация?
Нарушенная аутентификацияКатегория уязвимостей, при которой дефекты аутентификации или управления сессиями позволяют атакующему выдавать себя за легитимных пользователей или захватывать аккаунты.
Нарушенная аутентификация охватывает любые дефекты, позволяющие обойти проверку личности приложения: принятие слабых паролей, отсутствие защиты от перебора, предсказуемые или вечные токены сессии, небезопасные сценарии сброса пароля, отсутствие MFA, ошибки подписи JWT, хранение учётных данных в открытом виде. Это постоянный пункт OWASP Top 10 и основа credential stuffing и захвата аккаунтов. Защита: уникальные сложные пароли, MFA, rate limiting и блокировка, безопасное хранение (Argon2/bcrypt с солью), короткоживущие подписанные токены сессии, аудит процедур сброса и восстановления.
● Примеры
- 01
Приложение передаёт ID сессии в URL и не сменяет его после входа.
- 02
Сброс пароля по 4-значному числовому токену, отправленному по почте.
● Частые вопросы
Что такое Нарушенная аутентификация?
Категория уязвимостей, при которой дефекты аутентификации или управления сессиями позволяют атакующему выдавать себя за легитимных пользователей или захватывать аккаунты. Относится к категории Уязвимости в кибербезопасности.
Что означает Нарушенная аутентификация?
Категория уязвимостей, при которой дефекты аутентификации или управления сессиями позволяют атакующему выдавать себя за легитимных пользователей или захватывать аккаунты.
Как защититься от Нарушенная аутентификация?
Защита от Нарушенная аутентификация обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Нарушенная аутентификация?
Распространённые альтернативные названия: Ошибки идентификации и аутентификации, Обход аутентификации.