Autentizace

Security Checklist

zpět

Black Box Testování:

Je přihlašovací proces chráněn proti vertikálnímu guessingu?
Je přihlašovací proces chráněn proti horizontálnímu guessingu?
Je zpožďována odpověď za účelem zpomalování guessing útoků?
Není časový rozdíl ve zpožďování kladné a záporné odpovědi?
Je po neúspěšné autentizaci vrácena stejná informace v případě zadání špatného jména i hesla?
Je přihlašovací proces chráněn před útoky typu CSRF?
Je zadávané heslo schováno pod hvězdičkami?
Nereflektuje se zadané heslo v odpovědi (například v obsahu formuláře při chybném zadání)?
Neobsahuje přihlašovací požadavek parametr pro přesměrování po loginu, který by trpěl na Open Redirect?
Není přihlašovací formulář náchylný na reflektovaný XSS?
Není přihlašovací formulář náchylný na SQL injection?
Nebyla by pro danou aplikaci vhodná vícefaktorová autentizace?
Není možné zneužít vícefaktorovou autentizaci pro zahlcení e-mailu nebo telefonního čísla?
Nedojde po několika neúspěšných pokusech o přihlášení k zablokování uživatelského účtu?
Nedojde po několika neúspěšných pokusech o přihlášení k zablokování IP adresy?
Chová se přihlašovací skript při použití bezchybně, pokud jsme již přihlášeni?
Je přihlašovací formulář načítán přes HTTPS?
Je přihlašovací formulář odesílán přes HTTPS?
Není logování přihlášení zranitelné na SQL injekci v hlavičce Referer, User-Agent, X-Forwarded-For, nebo v loginu?
Není logování přihlášení zranitelné na Blind XSS v hlavičce Referer, User-Agent, X-Forwarded-For, v loginu, apd.?
Jsou uživateli k dispozici logy o posledních přihlášeních?
Nejsou informace o posledních přihlášeních náchylné na stored XSS?
Vyžadují všechny stránky, které mají být dostupné až po přihlášení, skutečně autentizaci?
Není možné se přihlásit na standardní nebo testovací účty s defaultními hesly (admin/admin, test/test, apd.)?
Jsou všechny kontroly vstupů uplatňovány na straně serveru?
Gray Box Testování:

Jsou logovány všechny pokusy o přihlášení?
Jaká IP adresa vstupuje do logů (není možné ji spoofovat pomocí hlavičky X-Forwarded-For)?