Los navegadores web en muchas ocasiones nos preguntan si queremos almacenar nuestras credenciales de una aplicación web determinada, también hay aplicaciones web que tienen la funcionalidad de mantener la sesión abierta, esto significa que, aunque cerremos nuestro navegador o computadora, la próxima vez que accedamos a esta aplicación, no será necesario teclear la contraseña nuevamente pues nuestras credenciales permanecerán guardadas en el navegador para ser reutilizadas. Facebook y Google son ejemplos de aplicaciones que brindan estas funcionalidades.
A casi nadie le gusta estar recordando contraseñas, por tanto, estas funcionalidades son muy útiles para los usuarios. Desgraciadamente también lo son para los atacantes, a los cuales se les facilita mucho su trabajo si acceden a las credenciales almacenadas en el navegador. Hay ataques clásicos como los Cross-Site Request Forgery que se aprovechan de esta vulnerabilidad.
¿Qué nos propone OWASP para conducir esta prueba de seguridad?
- Revisar si las contraseñas se almacenan en las cookies.
- Examinar las cookies almacenadas por la aplicación web.
- Verificar que las credenciales no son almacenadas en texto plano.
- Examinar el mecanismo de encriptación de las cookies, si es un algoritmo conocido revisar que su implementación sea correcta, debe probarse además con varios usuarios, si el resultado de la función de encriptación puede ser predecible.
- Verifica que las credenciales son enviadas solamente durante la fase de autenticación y no son enviadas junto con cada petición realizada a la aplicación web.
- Revisa otros campos con información sensible en formularios como preguntas secretas que deben introducirse para recuperar una cuenta bloqueada.
¿Cuáles pueden ser las soluciones para evitar esto?
Asegurarse que las credenciales no se almacenen en texto plano o puedan ser fácilmente capturaras o y descodificadas desde las cookies.
Pueden encontrar más información en el portal de OWASP. Espero que les haya interesado este post y me gustaría conocer tu opinión al respecto y si conoces otros métodos para solucionar esta vulnerabilidad.
Behique Digital 
Pingback: Cuentas de Twitter Hackeadas ¿Por qué y como evitarlo? | Behique Digital
Pingback: Configurando OWASP ZAP para la intercepción por proxy | Behique Digital
Yo creo que dejar las contraseñas guardadas en las cookies del navegador no es tener seguridad ya que cualquiera intruso que pueda acceder a tu computadora puede ver datos importantes y contraseñas importantes guardadas, muchas personas piensas que como la pc es personal no podran acceder, pero conectados a internet y con las contraseñas guardadas muchos hacker puden acceder a la misma..
Me gustaLe gusta a 1 persona
Muchas gracias Arlet por tu comentario, esto es muy cierto.
Me gustaMe gusta