Атака на авторизацию пользователя
Главная » Программно-техническая защита » Безопасности веб-сайта » Атака на авторизацию пользователя

Атаки на авторизацию пользователя

Классификация атак

  • Предсказание идентификатора сеанса
  • Фиксация сеанса
  • Недостаточная авторизация
  • Отсутствие таймаута сеанса

Предсказание идентификатора сеанса
  1. Идентификатор сеанса – то что остается после аутентификации
  2. Идентификатор сеанса играет роль логин-пароля
  3. Что сложнее предсказать, пароль или этот идентификатор?

Если пароль, то лучше брутить Session ID

Защита:
  • блокировка после неудачных попыток
  • использование трудно-предсказуемых Session ID

Фиксация сеанса
  1. Идентификатор сеанса – то что остается после аутентификации
  2. Идентификатор сеанса играет роль логин-пароля
  3. Можно ли заранее установить идентификатор сеанса?

Если да, то можно предложить пользователю ссылку с Session ID

Защита:
  • пользователю не следовать присланным ссылкам
  • использование зависимых от аутентификации Session ID

Недостаточная авторизация
Защита:
  • авторизация на содержимом
  • ограничения по IP
  • проверка ввода пользователя

Отсутствие таймаута сеанса
  1. Идентификатор сеанса – то что остается после аутентификации
  2. Идентификатор сеанса играет роль логин-пароля
  3. Сколько времени действителен идентификатор сеанса?

Если вечен, то можно использовать повторно много раз

Защита:
  • пользователю не пользоваться приложением на публичных компьютерах
  • установить время жизни Session ID

Поиск информации на сайте Пожалуйста, перейдите к форме, введите запрос и нажмите «Найти!»
К форме поиска