7. Fehler bei Authentisierung und Session-Management

Das Problem: Wenn Applikationen Zugangsdaten und Session-Tokens nicht angemessen, sprich: über den gesamten Lebenszyklus hinweg schützen, können Angreifer Kontrollen hinsichtlich Autorisierung und Verantwortlichkeiten unterwandern und Nutzerkonten sowie administrative Accounts kapern. "Fehler in den tragenden Authentisierungsmechanismen sind nicht selten. Häufiger entstehen die Schwachstellen jedoch durch zusätzliche Authensierungsfunktionen wie Logout, Passwort-Management, Timeout, "remember me", geheime Fragen sowie Account-Updates."

Beispiel: Microsoft musste im Jahr 2002 eine Schwachstelle in Hotmail beheben, die es Hackern ermöglichte, Nutzerpasswörter zu stehlen. Die Sicherheitslücke ließ sich via E-Mail mit einem darin befindlichen Trojaner ausnutzen. Dieser modifizierte das Hotmail-User-Interface so, dass die Nutzer gezwungen waren, ihre Passwörter wiederholt einzugeben, und damit unwissentlich an die Kriminellen sandten.

Basis-Schutz: Kommunikations- und Zugangsdaten müssen sicher gespeichert werden. Das Verschlüsselungsprotokoll SSL sollte für Anwendungskomponenten, die eine Authentisierung erfordern, die einzige Option sein. Die Zugangsdaten gilt es, als Hash-Wert oder verschlüsselt zu speichern. Ferner rät OWASP, kundenspezifische Cookies für die Authentisierung oder das Session-Management abzuschaffen.