- Permite ataques de fuerza bruta o credential stuffing
- Acepta contraseñas d�biles ("123456", "password")
- Recuperación de contraseña d�bil (preguntas de seguridad)
- Sesiones que no expiran, tokens predecibles
- No invalida sesiones después de logout
- Sessión IDs en URLs
??HIGH�OWASP #7
?? Identification & Authentication Failures
Antes "Broken Authentication". Debilidades en la confirmación de identidad del usuario, gestiión de sesiones y autenticación.
Vulnerabilidades Comunes
Explotación �tica
??Solo en sistemas autorizados
Hydra? Brute Force
# Ataque de dicciónario a login HTTP POST hydra -l admin -P wordlist.txt target.com http-post-form \ "/login:user=^USER^\u0026pass=^PASS^:Invalid credentials" # SSH brute force hydra -L users.txt -P passwords.txt ssh://target.com
Mitigación
?Multi-Factor Authentication
Implementar MFA, especialmente para funciones críticas.
- Implementar rate limiting y lockout progresivo
- Usar CAPTCHA después de intentos fallidos
- Forzar contraseñas fuertes (mínimo 12 caracteres)
- Implementar MFA (TOTP, WebAuthn, passkeys)
- Regenerar session ID después de login
- Usar tokens seguros con expiración apropiada