5 модуль

Уязвимости системы аутентификации

Подбор пароля: автоматизированным способом организуется перебор возможных паролей. В случае, если система позволяет использовать слабые пароли, этот класс атаки показывает высокую эффективность. Можно организовать и обратный перебор, при котором перебираются различные имена пользователей, а пароль остается неизменным. В системах с большим количеством учетных записей довольно высока вероятность использования несколькими пользователями одного и того же пароля.
Недостаточная аутентификация: получение доступа к некоторым ресурсам системы без должной аутентификации. Как пример, «скрытое» размещение интерфейса администрирования по адресу, недоступному через какую-либо ссылку приложения, и надежда на то, что вследствие «скрытного» местоположения доступ к нему не возможен. При этом, зачастую, необходимый адрес может быть найден перебором типичных файлов и директорий.
Небезопасное восстановление паролей: информацию, используемую для проверки пользователя, легко угадать или процесс подтверждения можно обойти. Например, при использовании секретного вопроса «Место рождения» для восстановления пароля, ответ легко подобрать, ограничив перебор списком городов.

Содержание