[Owasp-turkey] Owasp-turkey Digest, Vol 52, Issue 9

Onur Yilmaz contact at onuryilmaz.info
Fri Jul 29 18:15:59 EDT 2011


Selam,

- HTTPS vurgusu yapıldığından ötürü öncelikli olarak protokol kontrolü şart,
bunu da login sayfasını da HTTPS üzerinden çalıştırarak yapmalı ve HTTP
üzerinden gelen istekler dikkate alınmamalıdır.

https://docs.google.com/a/mavitunasecurity.com/Doc?id=d2qjp94_78f96rxdgq#_ye_Giri_Formunu_HTTP_adresine

- Ek olarak cookie kullanımı var ise cookiler 'mark as secure' olarak
işaretlenmeli ve HTTPS üzerinden taşınmalıdır.

- Hata mesajları noktasında, hatalardan kullanıcı adı 'enumerate' edilmemesi
için daha generic, bilgi sızmayan hata mesajları tercih edilmelidir.
Kullanıcı adı ya şifre de yanlış olsa hata mesajı 'kullanıcı adınız /
şifreniz yanlış' şeklinde verilirse enumeration yapılamaz.

https://www.owasp.org/index.php/Testing_for_user_enumeration_%28OWASP-AT-002%29

İstenilenler ve bu bilgiler ışığında ben olsam;

- administrator, admin, editor vs. gibi muhtemel username'leri veritabanına
kaydederdim fakat kullanıcılara tahsis etmezdim. Bu username'ler ile istek
geldiği zaman direk saldırı olduğunu / olabileceğini anlar ve X süresi
boyunca o IP adresini bloklardım.

- Kullanıcılara tahsis edilmiş kullanıcı adlarına yapılan saldırılarda ise
kullanıcının hesabı kilitlenmesin isteniyorsa 10 tane yanlış deneme sonrası
yine IP adresini bloklamak, 3 yanlış deneme sonrası CAPTCHA çıkarmak
mantıklı olacaktır.

CAPTCHA kullanılması istenmez ise bir çözüm önerim yok :) bir üstteki
maddeyi yine uygulardım.


> merhaba,
> asagidaki senaryo ve istenenlere gore yaziliminizda nasil bir algoritma
> gelistirirdiniz?
>
> *Senaryo:*
> * Client-server uygulamasinin (klasik web uygulamasi olmayabilir) kimlik
> dogrulama ekraninda username/password aliniyor.
> * Bir username icin X defa yanlis password girilirse hesap kilitleme
> (lockout) politikasi var.
> * http*s* kullaniliyor.
> * Yanlis kimlik dogrulama sonrasi hata mesaji genel bir mesaj (orn:
> username
> veya sifre hatali).
> * Muhtemel usernameleri bulmak zor degil.
>
> *Istenenler:*
> * Username ve sifre brute force saldirilarina karsi onlemler alinmak
> isteniyor;
>  ** username sabit, sifre degisken
>  ** username degisken, sifre sabit
> * bulk sekilde hesap kilitleme saldirilarina karsi onlemler alinmak
> isteniyor.
>  * Ilk giriste CAPTCHA cikmasi istenmiyor. Kullaniciyi kaciriyor cunku...
> :)
> * OTP gibi cozumler uygulama icin hantal geliyor.
>
> *Ek Not:*
> * Eger yukarida istenenler icinde "captcha kullanilmamalidir" maddesi
> olsaydi, algoritmaniz nasil olurdu?
>
> bedirhan
> -------------- next part --------------
> An HTML attachment was scrubbed...
> URL:
> https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110729/0114c8f6/attachment-0001.html
>
> ------------------------------
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
> End of Owasp-turkey Digest, Vol 52, Issue 9
> *******************************************
>
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110730/692b2a9f/attachment.html 


More information about the Owasp-turkey mailing list