top of page
Ara

Identification and Authentication Failures

  • Yazarın fotoğrafı: Songül ÖZÜGÜRLER
    Songül ÖZÜGÜRLER
  • 28 Nis
  • 3 dakikada okunur

Identification and Authentication Failures

Identification and Authentication Failures

Kimlik doğrulama ve oturum yönetimi, kullanıcılara verilere belirli erişimler vermeyi ve oturumları yönetmeyi içerir. Kimlik doğrulamanın önemi asla küçümsenmese de hatalı kimlik bilgisi yönetimi, kusursuz şekilde doğrulanmış oturumların başarısız olmasına neden olabilir. Bu nedenle, oturum kimliğinin geçerli olduğundan emin olmak için hesap ayrıntıları yönetimi ve güncelleme işlevlerinin izlenmesi gerekir.

Daha önce Broken Authentication olarak bilinen bu kategori, ikinci konumdan aşağı kaydırıldı.

Nasıl oluşur ?

- Saldırganın geçerli kullanıcı adları ve parolalar listesine sahip olduğu, kimlik bilgisi doldurma gibi otomatik saldırılara izin verir.

- Kaba kuvvet veya diğer otomatik saldırılara izin verir.

- “test” veya “admin/root” gibi varsayılan, zayıf veya iyi bilinen parolalara izin verir.

- Güvenli hale getirilemeyen bilgiye dayalı cevaplar gibi zayıf veya etkisiz kimlik bilgisi kurtarma ve unutulan parola süreçleri kullanır.

- Düz metin, şifrelenmiş veya zayıf karma parola veri depoları kullanır (bkz. A02:2021-Kriptografik Hatalar )

- Eksik veya etkisiz çok faktörlü kimlik doğrulaması var.

- URL’de oturum tanımlayıcısını gösterir.

- Oturum Kimliklerini doğru şekilde geçersiz kılmaz. Kullanıcı oturumları veya kimlik doğrulama belirteçleri (çoğunlukla tek oturum açma (SSO) belirteçleri), çıkış veya etkinlik dışı kalma süresi sırasında düzgün şekilde geçersiz kılınmaz.

Nasıl Önlenir ?

Identification and Authentication Failures

- MFA’yı etkinleştirin ve uygulayın

- Oturum kimlikleri URL’de olmamalıdır. Kimlikler ayrıca oturum kapatma, boşta kalma ve mutlak zaman aşımlarından sonra güvenli bir şekilde saklanmalı ve geçersiz kılınmalıdır.

- Mümkün olan her yerde, otomatikleştirilmiş, kimlik bilgisi doldurma, kaba kuvvet ve çalıntı kimlik bilgilerini yeniden kullanma saldırılarını önlemek için çok faktörlü kimlik doğrulama uygulayın.

- Yeni veya değiştirilmiş parolaları en kötü 10000 parola listesiyle test etmek gibi zayıf parola denetimleri uygulayın .

- Başarısız oturum açma girişimlerini sınırlayın veya giderek geciktirin. Tüm hataları günlüğe kaydedin ve kimlik bilgisi doldurma, kaba kuvvet veya diğer saldırılar algılandığında yöneticileri uyarın. Bilinen parola listelerinin kullanılması yaygın bir saldırıdır. Bir uygulama otomatik tehdit veya kimlik bilgisi doldurma koruması uygulamıyorsa, uygulama, kimlik bilgilerinin geçerli olup olmadığını belirlemek için bir parola kehaneti olarak kullanılabilir.

- Özellikle yönetici kullanıcılar için herhangi bir varsayılan kimlik bilgisi ile göndermeyin veya dağıtmayın.

- Mümkün olduğunda, otomatik kimlik bilgisi doldurma, kaba kuvvet ve çalıntı kimlik bilgilerini yeniden kullanma saldırılarını önlemek için çok faktörlü kimlik doğrulama uygulayın.

cve list

https://dynamic-tourmaline-84d.notion.site/7-Identification-and-Authentication-Failures-CVE-List-fcbaf1fafde94618988260c271925f6f

Örnek Saldırı Senaryoları

Identification and Authentication Failures

1- Url de oturum bilgilerinin gösterilmesi

http://example.com/sale/saleitems;jsessionid=as213?dest= Admin

2 -Diyelim ki bir saldırgan, sızdırılmış kimlik bilgilerinin bir listesini ele geçirdi. Uygulamamızda kimlik bilgisi doldurma işlemi yapabilirler. Uygulamamız otomatik tehdit veya kimlik bilgisi doldurma korumaları uygulamıyorsa, bu kimlik bilgilerini uygulamamızda deneyebilir ve muhtemelen onu kırabilir.

3 -Uygulamamızın tek kimlik doğrulama mekanizması olarak parola tabanlı bir oturum açmaya sahip olduğunu ve zayıf parolalara izin verdiğini hayal edin. Çoğu kimlik doğrulama saldırısı, birçok web sitesinin kimlik doğrulama için tek faktör olarak parolaları kullanmaya devam etmesi nedeniyle gerçekleşir.

Parola döndürme ve karmaşıklık gereksinimleri bir zamanlar en iyi uygulamalar olarak görülse de, bugün çoğu insan zayıf parolaları kullanıyor ve yeniden kullanıyor. Dolayısıyla, bu artık web uygulamamızın güvenliğini sağlamamıza yardımcı olmuyor.

Uygulamamızda çok faktörlü kimlik doğrulama uygulanmazsa ve zayıf şifrelere izin verilirse, saldırganların şifreyi kırmaları yeterlidir ve uygulamamıza tam erişim elde edebilirler.

4 -Diyelim ki, uygulamamız için oturum zaman aşımları düzgün ayarlanmadı. Bir kullanıcı, uygulamaya erişmek için ortak bir bilgisayar kullanır. Kullanıcı, çıkış seçeneğini seçmek yerine tarayıcı sekmesini kapatır ve uzaklaşır. Saldırgan bir saat sonra aynı tarayıcıyı kullanır, kimlik doğrulama hala geçerli olur ve uygulamamıza erişim sağlar.

Oturum zaman aşımları düzgün bir şekilde uygulanmazsa, sistemimizde, özellikle ortak paylaşılan bilgisayarlarda, bozuk kimlik doğrulama saldırıları olasılığı vardır.

 
 
bottom of page