.gif)
.gif)
https://admonredeswilson.wikispaces.com/owasp
DEFINICIÓN
Cuando las claves o información sensible no es protegida adecuadamente, el atacante aprovecha estas vulnerabilidades que generalmente son ofrecidas en el cierre de sesión, en la gestión de las contraseñas, en el tiempo de desconexión, en la función de recordar contraseña, para robar la información sensible, incluyendo un script en una página web que se ejecuta cuando el usuario la utiliza. Generalmente se presentan cuando se gestionan las contraseñas, cuando expiran las sesiones, cuando se recuperan valores automáticamente, cuando el usuario solicita recordar contraseña etc.
CÓMO IDENTIFICAR UNA VULNERABILIDAD
- Falta de protección en el almacenamiento de las credenciales de los usuarios cuando se utiliza hash o cifrado.
- Adivinación cuando las ID son débiles.
- Falta de expiración de credenciales, de sesiones o de tokens de autenticación.
- Información sensible enviada por canales no cifrados.
PREVENCIÓN
- Cumplir con los requisitos de autenticación y gestión de sesiones, para ello nos dirige hacia las páginas de OWASP que ofrecen este servicio.
- Tener una interfaz para desarrolladores y ofrece páginas con ejemplos de muestra.
- Recomienda la necesidad de evitar vulnerabilidades de XSS.
- Se recomienda cerrar sesión (No cerrar ventanas).
- Eliminar las opciones de recordar contraseñas, pregunta secreta.
- Ingreso de identificadores no válidos
_______________________________
Tomado del proyecto original de "GUÍA DE BUENAS PRÁCTICAS PARA EL DESARROLLO DE APLICACIONES WEB SEGURAS, ORIENTADAS A LA FORMACIÓN DE PROGRAMADORES" Liliana Cújar Bahamón. Autora de este sitio web.
