Continuiamo nel nostro viaggio nelle top ten #Owasp.
Oggi vi parlo della #BrokenAutenthication.
Con questo termine si definiscono quelle routine all'interno di ogni applicazione che sono demandate al processo di autenticazione e che essendo sviluppate male permettono ad un attaccante di ottenere l'accesso all'applicazione con privilegi maggiori di quelli previsti oppure addirittura quando non dovrebbero accedere affatto.
Lo sviluppo con poca attenzione alla sicurezza può permettere ad un attaccante l'accesso a password, chiavi di autenticazione, token di sessione consentendogli l'assunzione di un'identità non legittima.
Ogni routine demandata all'autenticazione dovrebbe implementare funzioni che non permettano il credential stuffing, l'utilizzo di attacchi brute force, l'implementazione di procedure di recovery password deboli o di password in chiaro, l'esposizione di session id negli url e (purtroppo) tanto altro.
Come proteggersi? Implementando routine di autenticazione con delay incrementali in caso di fallimento dell'autenticazione, implementazione di check per password deboli, utilizzo di routine di generazione dei sessioni ID con alta entropia, invalidazione dei session ID dopo il logout etc...

Tweet