بررسی چک لیست های احراز هویت(Authentication) وب سایت OWASP

در این مقاله چک لیست هایی را که وب سایت OWASP برای تایید امنیت احراز هویت (Authentication)ارايه کرده است را بررسی کنیم.

چک لیست های احراز هویت(Authentication) OWASP

چک لیستی که وب سایت OWASP برای تایید امنیت احراز هویت یک وب سایت ارایه نموده است شامل موارد زیر می باشد:
1.    تست گواهی نامه های ارسال شده توسط یک کانال رمزگذاری شده
2.    تست گواهی نامه های پیشفرض
3.    تست ضعف مکانیزم تحریم
4.    تست دور زدن الگوی احراز هویت
5.    تست آسیب پذیری عملکرد به خاطر سپردن رمز عبور
6.    تست ضعف کش مرورگر
7.    تست ضعف سیاست پسورد
8.    تست ضعف امنیت سوال/جواب
9.    تست ضعف عملکرد تغییر یا بازنشانی کلمه عبور
10.    تست احراز هویت ضعیف تر در کانال های جایگزین

تست گواهی نامه های ارسال شده توسط یک کانال رمزگذاری شده

هدف از این تست این است که مطمئن شویم اطلاعات احراز هویت کاربر از طریق یک کانال رمز گذاری شده منتقل می شوند تا توسط کاربران بدخواه دزدیده نشوند.

تست گواهی نامه های پیشفرض

بسیاری از افراد برای راه اندازی وب سایت خود از نرم افزارهای آماده مانند وردپرس،جوملا و ... استفاده می کنند. این نرم افزارها دارای یک سری اطلاعات پیشفرض هستند که در زمان راه اندازی می بایست تغییر پیدا بکنند. به طور مثال ورد پرس به طور پیشفرض یک کاربر با نام admin دارد ، نام کاربری و کلمه عبور بخش تنظیمات بسیاری از مودم ها Admin و admin می باشد ، بسیاری از وب سایت ها رمز عبور کاربران جدید را به طور پیشفرض یک عبارت خاص قرار می دهند. حمله کنندگان برای نفوذ از این اطلاعات استفاده می کنند.

تست ضعف مکانیزم تحریم

این تست برای اطمینان از امن بودن وب سایت در مقابل حملات‌ بروت فورس می باشد. برای این کار هر وب سایت باید مکانیزمی داشته باشد که در صورت ۳ تا ۵ بار تلاش نا موفق یک حساب برای ورود به سیستم آن اکانت را قفل کند و پس از یک زمان معین به صورت خودکار و یا با تایید مدیر دوباره اکانت او را فعال نماید. مکانیزم تحریم اکانت باید به صورتی باشد که نه امکان دسترسی غیر مجاز به یک اکانت را بدهد و نه در صورت خطای یک کاربر در زمان وارد کردن اطلاعات او را از دسترسی به حساب خودش منع کند.

تست دور زدن الگوی احراز هویت

برخی از نرم افزار ها به دلیل خطای برنامه نویس و اطلاعات کم از الگوهایی برای احراز هویت استفاده می کنند که به راحتی با تغییر آدرس و وارد کردن آدرس صفحات مدیریت و یا تغییر پارامتر های آدرس می توان آن ها را دور زد و کاری کرد که نرم افزار فکر کند که کاربر فعلی وارد سیستم شده و به صفحه و یا فعالیت مورد نظر دسترسی دارد.

تست آسیب پذیری عملکرد به خاطر سپردن رمز عبور

بسیاری از مرورگر های پس از ورود موفق کاربر به وب سایت از او می خواهند که در صورت تمایلش کلمه عبور او را به خاطر بسپارند. پس از آن هر بار که کاربر بخواهد وارد سایت شود مرورگر به طور اتوماتیک رمز او را وارد می کند. این امکان نه تنها باعث ورد راحت تر کاربر می شود بلکه باعث دسترسی راحت تر حمله کنندگان نیز می شود.
یک حمله کننده می تواند با روش هایی مانند اکس.اس.اس کلمه عبور کاربران را از مرورگرشان بدزدد.

تست ضعف کش مرورگر

هدف از این تست این این چه مطمئن شویم وب سایت به خوبی  به مرورگر کاربر اطلاع می دهد که اطلاعات حساس را کش نکند. به طور مثال اگر در صفحه ای اطلاعات کارت بانکی کاربر نمایش داده میشود مرورگر نباید این صفحه را کش کند.

تست ضعف سیاست پسورد

بسیاری از کاربران برای راحتی کلمه عبور خود را عبارت های ساده ای مثل 123456, password و qwerty قرار می دهند. این تست برای اطمینان از این است که وب سایت اجازه انتخاب چنین رمز هایی را به کاربر نمی دهد.

تست ضعف امنیت سوال/جواب

سوالات امنیتی معمولا برای بازیابی رمز عبور و یا به عنوان یک آپشن در کنار روش ورود استفاده می شود. هدف این تست این است چه مطمئن شویم سوالات امنیتی به گونه ای است چه توسط دیگران قابل حدس زدن نیست. به عنوان مثال سوالات امنیتی ممکن است توسط خانواده و با دوستان کاربر قابل‌ حدس زدن باشد.
تست ضعف عملکرد تغییر یا بازنشانی کلمه عبور
در زمان بازیابی رمز عبور رمز هم باید در داخل نرم افزار تغییر پیدا کند و هم باید به او ایمیل شود. این کار باعث می‌شود که‌ برخی از برنامه نویسان رمز کاربران را یا رمز گذاری نکنند و یا طوری رمز گذاری کنند چه قابل رمز گشایی باشد. همچنین بسیاری از وب سایت ها از روش هایی برای بازیابی رمز عبور استفاده می کنند که قابل حدس زدن است(مانند سوالات امنیتی ضعیف).
هدف این تست اطمینان از این است که وب سایت توسط عملکرد بازیابی رمز عبور قابل هک نیست.

تست احراز هویت ضعیف تر در کانال های جایگزین

روش اصلی احراز هویت یک وب سایت ممکن است امن باشد ولی روش های جایگزین آن دارای ضعف امنیتی باشد. به طور مثال ممکن است صفحه ورود مخصوص موبایل،صفحه ورود آسان،صفحه ورود یک دستگاه خاص و صفحه ورود موجود در وب سایت های دیگر ان سازمان که از آن اطلاعات کاربری استفاده می کنند داری ضعف امنیتی باشند. هدف از این تست اطمینان از این است که روش های جایگزین احراز هویت یک وب سایت به اندازه روش اصلی احراز هویت آن امن هستند.

برای مشاهده چک لیست های وب سایت OWASP اینجا کلیک کنید.

مقاله از : هادی امیرنهاوندی-گروه نرم افزاری Sweet