A quebra de autenticação pode permitir que um invasor obtenha o controle parcial, ou mesmo completo, sobre o sistema da vítima. Ela está relacionada a problemas no mecanismo de autenticação da aplicação, como, por exemplo, um gerenciamento de sessões malfeito em que é possível fazer a enumeração de nomes de usuários até encontrar nomes válidos através do uso de técnicas de força bruta. As recomendações técnicas da OWASP para evitar essa vulnerabilidade são (BROKEN AUTHENTICATION, 2020):
1-Usar a autenticação multifator;
2-O acesso padrão aos recursos deve ser restrito;
3-Não disponibilizar a aplicação com credenciais pré-definidas;
Seguir as recomendações do guia NIST 800-63 B na secção 5.1.1 (GRASSI et al, 2017);
4-Implementar mecanismos de controle de acesso uma única vez e reutilizá-los ao longo da aplicação;
Soluções para a tarefa
Resposta:
1, 3 e 4 estão corretas.
Explicação:
Quebra de autenticação
Esse tipo de vulnerabilidade pode permitir que um invasor obtenha o controle parcial, ou mesmo completo, sobre o sistema da vítima. Ela está relacionada a problemas no mecanismo de autenticação da aplicação, como, por exemplo, um gerenciamento de sessões malfeito em que é possível fazer a enumeração de nomes de usuários até encontrar nomes válidos através do uso de técnicas de força bruta.
As recomendações técnicas da OWASP para evitar essa vulnerabilidade são (BROKEN AUTHENTICATION, 2020):
Usar a autenticação multifator;
Não disponibilizar a aplicação com credenciais pré-definidas;
Implementar verificações de palavras-chave fracas;
Seguir as recomendações do guia NIST 800-63 B na secção 5.1.1 (GRASSI et al, 2017);
Garantir resistência a ataques de enumeração de contas usando as mesmas mensagens para todos os resultados (sucesso/insucesso);
Limitar o número máximo de tentativas de autenticação;
Usar, no servidor, um gestor de sessões seguro que gere novos identificadores de sessão aleatórios.