Анна Куренова — Посторонним вход воспрещен: ошибки аутентификации и авторизации

Подробнее о конференции SafeCode:
— — Скачать презентацию с сайта SafeCode —
Что собой кратко представляет вход в систему: — Идентификация пользователя — проверка, что пользователь существует в системе. — Аутентификация — проверка подлинности (пароля, токена и т. д.). — Авторизация — предоставление доступа. — Рассмотрим проблемы безопасности этого процесса, найденные в ходе Bug Bounty. Это логические проблемы: — Изменения аутентификационных данных. — Обход этапов аутентификации — 2FA — Проблемы авторизации. Разобрались, как этих уязвимостей можно было избежать на этапе проектирования и разработки. Доклад рассчитан на разработчиков, QA, начинающих в ИБ.