broken-authentication-testing

Umiejętność do identyfikacji i oceny luk w bezpieczeństwie autentykacji i zarządzania sesjami. Pokrywa testowanie polityk haseł, obsługi sesji, uwierzytelniania wieloskładnikowego oraz zarządzania poświadczeniami. Generuje raport oceny uwierzytelniania, wyniki testów poświadczeń, analizę bezpieczeństwa tokenów oraz rekomendacje naprawcze. Wymaga dostępu do aplikacji docelowej, poświadczeń testowych i autoryzacji do przeprowadzenia testów bezpieczeństwa.

1. Upewnij się, że posiadasz wymagane narzędzia: Burp Suite (Professional lub Community), Hydra lub podobne narzędzie do testów brute-force, niestandardowe słowniki do testowania poświadczeń oraz narzędzia deweloperskie przeglądarki. 2. Przygotuj dostęp do aplikacji docelowej — URL aplikacji, poświadczenia konta testowego oraz pisemną autoryzację do przeprowadzenia testów bezpieczeństwa. 3. Zidentyfikuj typ uwierzytelniania używany przez aplikację: oparte na hasłach (formularze, basic auth, digest), oparte na tokenach (JWT, OAuth, klucze API) lub oparte na certyfikatach (mutual TLS). 4. Przeprowadź analizę mechanizmu uwierzytelniania — zbadaj architekturę bezpieczeństwa aplikacji, obsługę sesji, zarządzanie tokenami i ciasteczkami. 5. Wykonaj testy zgodnie z metodologią: testowanie polityk haseł, ataki brute-force i słownikowe, ocenę losowości tokenów, weryfikację timeoutów sesji oraz testowanie uwierzytelniania wieloskładnikowego. 6. Dokumentuj wszystkie znalezione podatności i wygeneruj raport zawierający wyniki testów, analizę bezpieczeństwa sesji oraz rekomendacje do wzmocnienia bezpieczeństwa.