A07:2021 – Eșecuri de Identificare și Autentificare
Identification and Authentication Failures
Eșecurile de identificare și autentificare se referă la defecte în implementarea mecanismelor de autentificare și gestionare a sesiunilor, care permit atacatorilor să compromită parole, chei sau token-uri de sesiune, sau să exploateze alte defecte de implementare pentru a asuma temporar sau permanent identitățile altor utilizatori.
Această vulnerabilitate a coborât de pe poziția 2 (în 2017, când era numită "Broken Authentication") pe poziția 7 în topul OWASP 2021, reflectând îmbunătățirile în implementarea mecanismelor de autentificare, dar rămânând totuși o problemă semnificativă.
1. Permiterea atacurilor de forță brută
Aplicații care nu implementează mecanisme de protecție împotriva atacurilor de forță brută, cum ar fi blocarea contului după un număr de încercări eșuate sau implementarea de întârzieri progresive între încercări.
2. Permiterea parolelor slabe
Aplicații care permit utilizarea de parole slabe, comune sau cunoscute ca fiind compromise. De exemplu, permiterea parolelor precum "123456", "password" sau a parolelor care apar în liste de parole compromise.
3. Gestionarea nesigură a sesiunilor
Implementări nesigure ale gestionării sesiunilor, cum ar fi ID-uri de sesiune expuse în URL, ID-uri de sesiune care nu se schimbă după autentificare, sau sesiuni care nu expiră sau nu sunt invalidate corespunzător la delogare.
4. Recuperare nesigură a parolelor
Mecanisme de recuperare a parolelor care pot fi exploatate pentru a reseta parolele altor utilizatori. De exemplu, întrebări de securitate cu răspunsuri ușor de ghicit sau procese de recuperare care dezvăluie informații despre existența conturilor.
5. Stocarea nesigură a credențialelor
Stocarea parolelor în text clar sau utilizarea de algoritmi de hashing slabi (MD5, SHA1) fără salt. Aceasta permite atacatorilor să recupereze parolele originale în cazul unei breșe de date.