Los navegadores web en muchas ocasiones
nos preguntan si queremos almacenar nuestras credenciales de una
aplicación web determinada, también hay aplicaciones web que tienen la
funcionalidad de mantener la sesión abierta, esto significa que, aunque
cerremos nuestro navegador o equipo, la próxima vez que accedamos a
esta aplicación, no será necesario teclear la contraseña nuevamente
pues nuestras credenciales permanecerán guardadas en el navegador para
ser reutilizadas. Facebook y Google son ejemplos de aplicaciones que
brindan estas funcionalidades.
A casi nadie le gusta estar recordando
contraseñas, por tanto, estas funcionalidades son muy útiles para los
usuarios. Desgraciadamente también lo son para los atacantes, a los
cuales se les facilita mucho su trabajo si acceden a las credenciales
almacenadas en el navegador. Hay ataques clásicos como los Cross-Site Request Forgery que se aprovechan de esta vulnerabilidad.
¿Qué nos propone OWASP para conducir esta prueba de seguridad?
- Revisar si las contraseñas se almacenan en las cookies.
- Examinar las cookies almacenadas por la aplicación web.
- Verificar que las credenciales no son almacenadas en texto plano.
- Examinar el mecanismo de encriptación de las cookies, si es un algoritmo conocido revisar que su implementación sea correcta, debe probarse además con varios usuarios, si el resultado de la función de encriptación puede ser predecible.
- Verifica que las credenciales son enviadas solamente durante la fase de autenticación y no son enviadas junto con cada petición realizada a la aplicación web.
- Revisa otros campos con información sensible en formularios como preguntas secretas que deben introducirse para recuperar una cuenta bloqueada.
¿Cuáles pueden ser las soluciones para evitar esto?
Asegurarse que las credenciales no se
almacenen en texto plano o puedan ser fácilmente capturaras o y
descodificadas desde las cookies.
Podéis encontrar más información en el portal de OWASP.
No hay comentarios:
Publicar un comentario