Instituto tecnolgico Superior de Rioverde

Ing. De software


Autentificacin rota y gestin de sesiones


Docente


I.I Juan Norberto Carren Hernndez


Oscar Alejandro Salazar Martnez


Mircoles 28 de mayo de 2014

Introduccin
Cuando una persona desarrolla algn tipo de sistema software sin importar cul
sea la finalidad que vaya a tener el mismo, es importante que tome algunos
recaudos, ya que al tratarse de un sistema tan delicado, es importante que
tengamos en cuenta que en cualquier momento puede sufrir alguna falla en su
funcionamiento. Generalmente la seguridad en el desarrollo de software es tan
importante como cuando se lo est ejecutando ya que lgicamente, para poder
desarrollarlo, se requiere de un sistema operativo especial, el cual tambin est
en riesgo. Decimos esto porque durante el desarrollo de programas, siempre se
deben realizar diferentes tipos de pruebas, y son precisamente estas
ejecuciones a prueba las que ponen el riesgo el sistema que se est utilizando
en general.
OWASP (acrnimo de Open Web Application Security Project,
en ingls Proyecto abierto de seguridad de aplicaciones web) es un proyecto
de cdigo abierto dedicado a determinar y combatir las causas que hacen que
el software sea inseguro. En este ensayo usaremos informacin tomada del
documento de autoevaluacin OWASP Top 10 y trataremos una de las 10
fallas mencionadas en este.















Desarrollo
El manejo adecuado de las autentificaciones y el gestin de las sesiones es
crtico para la seguridad de aplicaciones web.
Fallas en esta rea generalmente envuelven falta de proteccin para las
credenciales y fichas de sesin a travs de su ciclo de vida. Estos defectos
pueden conducir al secuestro de cuentas de usuario o administrativas, socavar
la autorizacin y controles de rendicin de cuentas, y causar violaciones de
privacidad.
Credenciales de cuentas y fichas de sesiones a menudo no estn protegidas
adecuadamente
- Un tercero puede tener acceso a la cuenta de uno
- Los atacantes comprometen contraseas, llaves o fichas de
autentificacin
Riesgos
- Socavar autorizacin y controles de responsabilidad
- Causar violacin de privacidad
- Robo de identidad
Mtodo de ataque: Usar debilidades en el mecanismo de autentificacin
- Cierre de sesin
- Administracin de contraseas
- Recordarme
- Pregunta secreta y actualizacin de cuenta
Autentificacin
- Autentificacin de usurarios generalmente involucra el uso de.- Nombre
de usuario, contrasea
- Mtodos de autentificacin robustos (comercialmente), Software y
hardware basado en fichas criptogrficas o biomtricos, pero tales
mecanismos son un costo prohibitivo para la mayora de las aplicaciones
web
- Un amplio arreglo de fallas en la gestin de sesiones y cuentas puede
comprometer al usuario al sistema de administracin de cuentas
Que son sesiones?
- Almacenar datos en el servidor para despus
- Necesitas una identificacin de sesin Donde almacenarla?
Cookies
Cadenas de consulta
Escenario de ejemplo
- Pgina de logueo con NombreUsuario/Contrasea
- Otra pgina con una bienvenida Bienvenido, Usuario
- Como sabe la 2da pagina que el usuario esta logueado?
- En login.aspx, escribimos un objeto de sesin
Session["Username"] = txtUsername.Text;
- Y en pagina2.aspx, leemos el objeto de sesin
username = (Session["Username"] ?? "Guest").ToString();
Cookies
- La cookie tendr
ASP.NET_SessionId:33irkjdmslkjeior9324jkdkj2039
- Si navegamos sin cookies, la direccin url se ver as
http://tic.com/(S(33irkjdmslkjeior932))/Page2.aspx
- Si el atacante obtiene la cookie o la url sin cookies puede hacerse pasar
por un navegador que ha iniciado sesin
Entornos Afectados
Los conocidos.-
- Servidores Web
- Servidores de aplicaciones
- Entornos de aplicacin web
Son susceptibles a problemas de autentificacin rota y gestin de sesiones
Como lo hacen los atacantes
- Los hackers interceptan la Id de sesin, ya se de la cookie o desde la
URL solicitada
- Pueden replicar la Id de sesin para s mismos
- Las URL son simples, simplemente la teclean en su propio navegador
- Las cookies son ms difciles, pero ellos pueden escribir una cookie o
inyectar la cookie en la cabecera de solicitud del HTTP, pueden engaar
al servidor
Como determinar si se es vulnerable
- Tanto la revisin de cdigo y pruebas de penetracin se pueden utilizar
para diagnosticar problemas de autenticacin y gestin de sesiones
- Revise cuidadosamente cada aspecto de sus mecanismos de
autenticacin para garantizar que las credenciales del usuario estn
protegidos en todo momento, mientras estn en reposo (por ejemplo, en
el disco) y mientras estn en trnsito (por ejemplo, durante el inicio de
sesin)
- Revisar el mecanismo de gestin de sesiones para garantizar que los
identificadores de sesin siempre estn protegidos y se utilizan de tal
manera como para reducir al mnimo la probabilidad de exposicin
accidental u hostil
Proteccin
- Evitar sesiones son cookies
- Revisar la comprobacin de IP
- Dar doble verificacin a las contraseas en ciertas actividades
- Terminar sesiones temprano y con frecuencia




















Conclusin
Esta de ms decir que es importante proteger nuestra informacin al
registrarnos o iniciar sesin en pginas web, esto por el mal o molesto uso que
se le pudiera dar a nuestra informacin, tales como robo de identidad o usar
nuestros datos para llenar nuestras bandejas de correo con spam, o
comprometer a nuestra empresa sacando informacin de importancia de
nuestra cuenta, algunas soluciones para el problema tratado aqu son, utilizar
solo el mecanismo de inicio de sesin incorporado, No aceptar nuevas,
preestablecidas o invlidos identificadores de sesin de la URL o en la
solicitud, Limitar o eliminar el cdigo de cookies personalizadas para propsitos
de gestin de autenticacin o sesin, como "recordarme", implementar una
poltica de contraseas fuertes al permitir contraseas, entre otras



















Bibliografa
OWASP. (2013 de Junio de 23). Top 10 2013-A2-Broken Authentication and Session
Management. Recuperado el 27 de Mayo de 2014, de Top 10 2013-A2-Broken Authentication
and Session Management: https://www.owasp.org/index.php/Top_10_2013-A2-
Broken_Authentication_and_Session_Management
OWASP. (23 de Junio de 2013). Top 10 2013-Top 10. Recuperado el 27 de Mayo de 2014, de
Top 10 2013-Top 10: https://www.owasp.org/index.php/Top_10_2013-Top_10