#security #authentication #ssl #encryption #websecurity
Вопрос:
Мы столкнулись с проблемой, связанной с безопасностью. Во время нашего аудита безопасности мы обнаружили ,что с помощью инструмента Burp (инструмент, который может перехватывать запрос и ответ клиента и сервера) пользователь может пройти аутентификацию, т. е. войти в систему пользователя с правильным паролем в первый раз.Теперь с помощью инструмента burp у нас есть действительный запрос и ответ, допустим, злоумышленник блокирует этот действительный запрос в следующий раз, используя этот запрос, злоумышленник может войти с неверными учетными данными, потому что, вставляя ранее скопированный действительный запрос, он обманывает системы и выдает себя за действительного пользователя.
Я буду очень благодарен вам за помощь.
Комментарии:
1. Об этом лучше спросить в Отделе информационной безопасности . Но вкратце: используйте HTTPS HSTS, чтобы предотвратить обнюхивание каким-нибудь человеком посередине. Есть тайм-аут для сеансовых файлов cookie. Привязка сеансовых файлов cookie к IP-адресу клиента и/или другим свойствам клиента (отпечатку пальца браузера) для предотвращения неправильного использования внешним злоумышленником.