Autenticación y autorización

Inicio de sesión

• Enumeración de cuentas de usuarios.

  • Mensajes entregados cuando se proporciona un usuario válido/inválido.

  • Diferencia en el tiempo de respuesta del servidor cuando se proporciona un usuario válido/inválido.

  • Patrones de comportamiento específicos del flujo de inicio de sesión que pueden requerir una observación adicional para concluir si un usuario existe o no.

• Ataques de contraseñas.

  • Credenciales por defecto.

  • Política de contraseñas.

  • Generación de diccionarios de nombres de usuarios.

  • Generación de diccionarios de contraseñas.

  • Fuerza bruta Basic HTTP Authentication.

  • Fuerza bruta método HTTP GET.

  • Fuerza bruta método HTTP POST.

  • Password spraying.

• Restricción de cantidad de intentos no válidos de inicio de sesión.

• Rate limit & spike arrest.

Authentication bypass

• Injección SQL, NoSQL, LDAP, XML u otro para intentar eludir la autenticación.

• Modificación de HTTP header Host.

• Variables de sesión comunes:

  • Utilización de token de registro de usuario.

  • Utilización de token de restablecimiento de contraseña.

• Asignación prematura de variable de sesión al token durante el proceso de autenticación.

SQL injection authentication bypass

• https://github.com/MrW0l05zyn/pentesting/blob/master/web/payloads/sql-injection/sql-injection-authentication-bypass.txt

PHP strcmp bypass

username[]=admin&password[]=admin

Registro de usuario

• Registro de usuario utilizando:

  • Espacios.

  • Unicode.

• Variables de sesión comunes: utilización de token de registro de usuario en otras funcionalidades.

Proceso de restablecimiento de contraseña

• Enlace de restablecimiento de contraseña adivinable.

• Enlace de restablecimiento de contraseña reciclable.

• Token de restablecimiento de contraseña predecible.

• Respuestas adivinables para preguntas de seguridad.

• Envenenamiento de enlace de restablecimiento de contraseña a través de la manipulación del HTTP header Host.

• Variables de sesión comunes: utilización de token de restablecimiento de contraseña en otras funcionalidades.

Session

• Token de sesión débil (generación adivinable).

• Manipulación de token de sesión (contenido).

• Session hijacking.

• Session fixation.

• Debilidades de cierre de sesión.

• Un identificador de sesión fuerte es:

  • Válido para una sola sesión.

  • Tiempo limitado.

  • Aleatorio e impredecible.

  • Tener al menos 16 bytes de longitud.

  • Proporcionar al menos 64 bits de entropía.

Insecure direct object references (IDOR)

• Insecure direct object references (IDOR).

• IDOR information disclosure vulnerabilities.

• IDOR insecure function calls.