Semana 4. Fallas en autenticación
1. Lectura
Lea las lecciones sobre Fallas en Autenticación ("Authetntication Flaws") de WebGoat (Fortaleza de claves, Olvido clave, Autenticación básica, Ingreso multinivel 1, Ingreso multinivel 2).
2. Práctica
Realice las prácticas sobre Fallas de Autenticación de WebGoat.
Para realizar la práctica de Autenticaión Básica utilice WebScarab para examinar el tráfico (menú Tools->Proxies en HTTP Proxi incluya 127.0.0.1), configure su navegador para que lo utilice (con Firefox desde Editar->Preferencias, Network, Configuración, y como proxy HTTP utilice 127.0.0.1 en puerto 3128 y no excluya 127.0.0.1 o localhost del uso del proxy), a continuación inicie una sesión con WebGoat, notará que en todo encabezado hay uno llamado Authorization con el valor codificado en base64 que requiere. Para decodificar base64 puede emplear un servicio en línea o utilizar la herramienta incluida con WebScarab en el menú Tools->Transcoder.
3. Ejercicios
- ¿Cómo le parecieron las prácticas, en cual ha tenido dificultad?
- En su lenguaje de programación favorito y con su ambiente (framework) favorito ¿cómo previenen fallas en la autenticación?
Lo invitamos a comentar sus soluciones. También lo invitamos a comentar respuestas o preguntas de otros participantes, si responde en un blog por favor referencielo como comentario a esta tarea.
4. Bibliografía:
- Proyecto WebGoat OWASP. https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project. 2011
- OWASP Application Security Standard 2009. http://www.owasp.org/index.php/Projects/OWASP_Application_Security_Verification_Standard_Project/Releases/ASVS_-_2009_Edition
5. Términos y Condiciones Especiales
Este escrito se cede al dominio público de acuerdo a la legislación colombiana, agradeciendo se de crédito a Pasos de Jesús. 2011. Ver https://www.pasosdejesus.org/dominio_publico_colombia.html.