9. - Периодическая смена (устаревание)
- Смена при инциденте (disaster plan)
Типичные ошибки:
- Сообщение «пользователь отсутствует»
- Отсутствие подтверждения старого пароля
- Отсутствие защиты от перебора старого пароля
- csrf
10. - Оповещение ссылкой на смену
- Смена при следующем входе
- Создание и отправка нового
11. Типичные ошибки:
- Простые челленджи (секретные вопросы)
- Подбор секретного вопроса
- Раскрытие данных пользователя
- Логин при вводе правильного челленджа
- Отправка кода восстановления на указанный адрес/номер
- Подбор «одноразовой ссылки»
12. $nc somehost.com
GET / HTTP/1.1
Host: somehost.com
Cookie: Storeduser=mike
HTTP/1.1 200 Ok
Server: nginx
Date: Fri, 12 Nov 2012 14:42:04 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Set-Cookie: session=mike:0b0a2371cc93f46b; secure; HttpOnly
Content-Length: 5279
25. - Прямой вызов ресурса
- Контроль доступа параметром
- Нарушение последовательности вызовов
- Контроль доступа реферерром
- Контроль по местоположению