2. «Кто?»
«Что разрешено?»
«Что делал?»
2

3. WEB
AAA
ldap, radius, soap
Log
3

4. Html form-based
OpenID
Multifactor
http basic auth/digest auth
SSL certs/smartcards
4

5. -
Пустое значение
Слишком короткий
Пароль = логин
Пароль по умолчанию
Словарный пароль
5

6. 6

7. рабочая станция
роутер
локальная сеть
хостинг
провайдер
7

8. - SSL/TLS
- Challenge-response
8

9. - Периодическая смена (устаревание)
- Смена при инциденте (disaster plan)
Типичные ошибки:
- Сообщение «пользователь отсутствует»
- Отсутствие подтверждения старого пароля
- Отсутствие защиты от перебора старого пароля
- csrf
9

10. - Оповещение ссылкой на смену
- Смена при следующем входе
- Создание и отправка нового
10

11. Типичные ошибки:
- Простые челленджи (секретные вопросы)
- Подбор секретного вопроса
- Раскрытие данных пользователя
- Логин при вводе правильного челленджа
- Отправка кода восстановления на указанный адрес/номер
- Подбор «одноразовой ссылки»
11

12. $nc somehost.com
GET / HTTP/1.1
Host: somehost.com
Cookie: Storeduser=mike
HTTP/1.1 200 Ok
Server: nginx
Date: Fri, 12 Nov 2012 14:42:04 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Set-Cookie: session=mike:0b0a2371cc93f46b; secure; HttpOnly
Content-Length: 5279
12

13. trim(passwd): “ pass”, “pass”, “p.ass”,”@@pass”
substr(passwd,0,8): “password”,”password1234”
tolower(passwd):”password”,”PASSWORD”,”Password”
13

14. Типичные ошибки:
- Отправка пароля в открытом виде по email
- Бессрочный “account activation”
- Подбираемый “account activation”
14

15. Типичные ошибки:
- store(passwd)
- store(md5(passwd))
- store(customcrypt(passwd))
15

16. - ошибки создания сессии
- ошибки валидации
- ошибки хранения
16

17. randomseed(const);
session = md5(rand());
session = base64(“user:”+login + “date:”+date);
session = md5(passwd);
session = md5(timestamp()+passwd);
session = encrypt(user.data);
17

18. GET-метод:
somesite.com?sess=0102030010394&a=1
- Попадание в логи
- Кеш поиска
- Реферреры
Даунгрейд с https к http
- Перехват на сетевом уровне
18

19. админ
модератор
пользователь
Чтение сообщений
САЙТ
Модерация
Изменение настроек
19

20. админ
модератор
пользователь
Чтение сообщений
САЙТ
Модерация
Изменение настроек
20

21. админ
модератор
пользователь
Чтение сообщений
САЙТ
Модерация
Изменение настроек
21

22. админ
модератор
пользователь
Чтение сообщений
САЙТ
Модерация
Изменение настроек
22

23. админ
модератор
пользователь
Чтение сообщений
САЙТ
Модерация
Изменение настроек
23

24. админ
модератор
пользователь
Чтение сообщений
САЙТ
Модерация
Изменение настроек
24

25. - Прямой вызов ресурса
- Контроль доступа параметром
- Нарушение последовательности вызовов
- Контроль доступа реферерром
- Контроль по местоположению
25

26. Выбор товаров
Переход в
корзину
Оплата
Доставка
26

27. Выбор товаров
Переход в
корзину
Оплата
Доставка
27

28. Выбор товаров
Переход в
корзину
Оплата
Доставка
28

29. LET’S PLAY!
29

30. Set-Cookie: hand=10,J,Q,K,A
Set-Cookie: hand=2,3,5,J,Q
30

31. Cookie: hand=10,J,Q,K,A
31

32. Cookie: hand=10,J,Q,K,A
WIN!
Cookie: hand=Q,Q,Q,Q,Q
32