Autenticación y Sesiones – Problema de seguridad en aplicaciones

by Leandro Ferrari | Ago 22, 2017 | Profesional | 0 comments

Cuando una aplicación no administra en forma correcta la funcionalidad de autenticación y la gestión de sesiones de usuario, podría permitir que un atacante manipular credenciales de usuario y tokens de sesión para asumir la identidad de otros usuarios.

Una aplicación podría ser vulnerable cuando:

Las credenciales de usuario no están protegidas cuando se almacenan.
Las credenciales pueden ser sobreescritas por debilidad en la administración de cuentas de usuarios.
El ID de Sesión del usuario se expone en la URL (ej: http://www.sitio.com/index.php?sessionID=XXXXXX)
El sistema no disponga de expiración de ID de sesión por tiempo inactivo o no tenga un Logout del sistema.
La gestión de ID de sesión no cambia luego de ingresar al sistema correctamente.
Las credenciales, ID de sesión y cualquier información confidencial se envían sobre canal no cifrados.

¿Como puedo prevenirlo?

Implementar una fuerte control de autenticación y administración de sesiones de usuarios. Algunos controles a tener presente:

Aplicar un desarrollo seguro desde el análisis, diseño e implementación.
Realizar auditorías de hacking ético al sistema, para evaluar los problemas y riesgos del sistema frente a un intruso y validar que las implementaciones de los controles de seguridad estén funcionando correctamente.
Utilizar librerías seguras y utilizadas internacionalmente por la comunidad.

Referencias

[tw_button icon=”” link=”http://www.talsoft.com.ar/site/obtener-una-cotizacion/” size=”medium” rounded=”false” style=”border” hover=”hover2″ color=” ” target=”_self”]Contáctanos para empezar a proteger Tu empresa[/tw_button]

Si quieres mantenerte informado sobre temas de seguridad informática, subscríbete a nuestro Newsletter

GRATIS – Plan de cyberseguridad para su empresa: Aquí