Broken Authentication: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
[[Datei:Broken authentication.jpg|mini]]
[[Datei:Broken authentication.jpg|mini]]
Broken Authentication beschreibt eine mangelhafte Implementierung der User Authentifizierung bzw. des Session-Managements z.B. bei Webanwendungen.
Broken Authentication beschreibt eine mangelhafte Implementierung der User Authentifizierung bzw. des Session-Managements z.B. bei Webanwendungen.
Broken Authentication ist seit mehreren Jahren in den '''OWASP Top 10 Security Risks'''!


'''Schwachstellen in der Software'''
'''Schwachstellen in der Software'''
Zeile 16: Zeile 18:


Ein Software Entwickler, sowie IT-Security Experte sollten diese Probleme kennen und möglichst vermeiden bzw. entdecken, um die Angriffsfläche für Web Applikationen zu verringern.
Ein Software Entwickler, sowie IT-Security Experte sollten diese Probleme kennen und möglichst vermeiden bzw. entdecken, um die Angriffsfläche für Web Applikationen zu verringern.
'''Gegenmaßnahmen'''
Effiziente Gegenmaßnahmen sind die Vermeidung der o.g. Schwachstellen. Es ist ebenfalls empfehlenswert seine Web Application durch ein externes Unternehmen testen zu lassen (z.B. PEN-Testing).
Weitere Quellen:
* https://www.onlinesolutionsgroup.de/blog/glossar/b/broken-authentication/
* https://hdivsecurity.com/owasp-broken-authentication

Version vom 25. Januar 2020, 14:51 Uhr

Broken authentication.jpg

Broken Authentication beschreibt eine mangelhafte Implementierung der User Authentifizierung bzw. des Session-Managements z.B. bei Webanwendungen.

Broken Authentication ist seit mehreren Jahren in den OWASP Top 10 Security Risks!

Schwachstellen in der Software

  • Erlauben von Brute-Force Attacken
  • Erlauben von Schwachen Passwörtern
  • "Passwort vergessen" Funktion ist fehlerhaft implementiert
  • Passwörter sind im Klartext oder mit Schwachen Hash-Algorithmen gespeichert
  • Fehlende oder schwache 2FA (Two-factor Authentication)
  • Session-ID in URL sichtbar
  • Session-ID wird beim erneuten Login nicht neu generiert / gelöscht

Auswirkungen

Falls einem Angreifer z.B. die Session-ID, Keys oder Passwörtern bekannt ist, kann die Identität eines Users oder im schlimmsten Fall des Administrators angenommen werden. Die Sicherheit der Daten ist somit stark gefährdet. Außerdem kann die Applikation für Zwecke des Angreifers missbraucht werden.

Ein Software Entwickler, sowie IT-Security Experte sollten diese Probleme kennen und möglichst vermeiden bzw. entdecken, um die Angriffsfläche für Web Applikationen zu verringern.

Gegenmaßnahmen Effiziente Gegenmaßnahmen sind die Vermeidung der o.g. Schwachstellen. Es ist ebenfalls empfehlenswert seine Web Application durch ein externes Unternehmen testen zu lassen (z.B. PEN-Testing).

Weitere Quellen: