Broken Authentication and Session-Management

Wenn in einer Web-Anwendung Zugangsdaten ausgetauscht werden, ist besondere Vorsicht geboten. Zugangs- und Sitzungsinformationen (Session-Tokens) sind oft nicht hinreichend vor Angreifern geschützt. Für Letztere sind Session-Tokens vor allem interessant, weil sie den Zugang zu gesperrten Bereichen unter dem Namen und mit den Rechten eines legitimen Benutzers ermöglichen. Schwachstellen im Standard-Authentisierungsmechanismus sind dabei nicht immer der einfachste Angriffspunkt. Vielmehr konzentrieren sich Hacker auf Sicherheitslücken in zusätzlichen Authentifizierungsfunktionen wie Logout-Funktion, Passwort-Erinnerung oder "Secret Questions", um an Zugangsinformationen zu gelangen. Beim fehlerhaften Umgang mit Session-Tokens kann der Angreifer mittels XSS oder Man-in-the-Middle-Attacken in Besitz des Session-Tokens gelangen und so die Sitzung übernehmen (Session-Hijacking). Benutzer und Betreiber sind hiervon gleichermaßen betroffen, da sich neben Benutzer- auch Administratorenkonten kompromittieren lassen.