Ataques Web - Pérdida de Autenticación y gestión de sesiones

Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios.

Como detectarlo

1. Las credenciales de los usuarios no están protegidas cuando se almacenan utilizando un cifrado. 
2. Se puede adivinar o sobrescribir las credenciales a través de funciones débiles de gestión de sesion (ejemplos: creación de usuarios, cambios de contraseñas, id de sesiones débiles). 
3. Los Id de sesión son expuestos en la URL (ejemplo: reescritura de las URL) 
4. Los Id de sesión son vulnerables a ataques de fijación de la sesión. 
5. Los Id de sesión no expiran, o las sesiones de los usuarios o los tokens de autenticación. En particular, los tokens de inicio de sesión único (SSO), no son invalidados durante el cierre de sesión. 
6. Los Id de sesiones no son rotados luego de una autenticación exitosa. 
7. Los contraseñas. Id de sesión y otras credenciales son transmitidas a través de canales no cifrados.

Como prevenirlo

La recomendación principal para una organización es facilitar a los desarrolladores:

1. Un único conjunto de controles de autenticación y gestión de sesiones fuerte. Dichos controles deberán conseguir:

a. Cumplir con todos los requisitos de autenticación y gestión de sesiones definidos en el Application Security Verification Standard (ASVS) de OWASP, secciones V2 (Autenticación) y V3 (Gestión de sesiones).

b. Tener una interfaz simple para los desarrolladores. Considerar el uso de ESAPI Authenticator y las API de usuario como buenos ejemplos a seguir, utilizar o sobre los que construir.

2. Se debe realizar un gran esfuerzo en evitar vulnerabilidades de XSS que podrían ser utilizadas para robar ID de sesión. Vers sección XSS.