Come posso analizzare i token di recupero della password?

1

Tutti i siti Web che supportano le interazioni utente autenticate dispongono di una funzione di recupero della password. Solitamente invieranno tramite e-mail il link per la reimpostazione della password attraverso il quale è possibile recuperare facilmente il proprio account digitando una nuova password. Quindi, durante il pentesting di alcuni di questi siti web ho notato che il token di recupero password sembra essere in qualche modo ipotizzabile. Alcuni siti Web utilizzano la codifica MD5 o Base64 per i token di recupero password.

Quindi, la mia domanda è se ci siano procedure standard che potremmo usare per determinare la forza di un token, o il metodo attraverso cui è stato generato il token?

Esempio di link per il recupero della password:

http://example.com/users/password?recover_token=qQGgQrwzzz1SV1X9xznc

(Dove il token di recupero della password è qQGgQrwzzz1SV1X9xznc)

    
posta justtrying123 03.04.2014 - 20:55
fonte

2 risposte

3

Se non hai accesso al codice sorgente, dovrai fare più tentativi per vedere se ci sono dei pattern nella generazione di token. Se è un incrementatore di base, questo può essere facile da sconfiggere. È anche possibile prendere in considerazione la lunghezza del token.

Ecco alcune guide OWASP sull'argomento, che possono essere utili:

Ciò ti aiuterà con la parte di test, ma potresti voler aprire una domanda sul tema del criostato o della matematica su come dovresti effettivamente andare sulla previsione del modello.

    
risposta data 03.04.2014 - 21:42
fonte
1

Burp può eseguire analisi statistiche sui token con lo strumento Sequencer .

  • Send requests that return a security token from other Burp Suite tools to test in Burp Sequencer.
  • Reissue the same request repeatedly, to generate a large sample of tokens for statistical analysis.
  • Perform a rigorous set of tests, including the standard FIPS tests and others, to estimate the degree of randomness within the sample, at both the character and bit level. Start performing the analysis with as few as 100 tokens, and re-perform this as a larger sample is collected, up to the FIPS-recommended sample size of 20,000 tokens.
  • View an intuitive, at-a-glance summary of all the tests performed, letting you quickly understand the overall quality of randomness.
  • Review detailed, graphical test output, letting you drill down into the detailed reasons why individual parts of the token passed or failed each test. Load an existing sample of tokens for analysis, if these have already been captured elsewhere.

Questa funzionalità è disponibile nella versione gratuita.

    
risposta data 04.04.2014 - 10:59
fonte