Уязвимости
Нарушенная аутентификация
Также известно как: Ошибки идентификации и аутентификации, Обход аутентификации
Определение
Категория уязвимостей, при которой дефекты аутентификации или управления сессиями позволяют атакующему выдавать себя за легитимных пользователей или захватывать аккаунты.
Примеры
- Приложение передаёт ID сессии в URL и не сменяет его после входа.
- Сброс пароля по 4-значному числовому токену, отправленному по почте.
Связанные термины
Нарушенный контроль доступа
Класс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав.
Подстановка учётных данных
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
Session Fixation
Session Fixation — definition coming soon.
Многофакторная аутентификация (MFA)
Метод аутентификации, при котором перед предоставлением доступа требуется два и более независимых фактора, обычно из разных категорий.
OWASP Top 10
OWASP Top 10 — definition coming soon.