Início‎ > ‎

Segregar a interface de administração

É bastante comum que aplicações web tenham interfaces de administração. No entanto, estas interfaces de administração merecem uma atenção especial, já que normalemnete permitem alterar o comportamento da aplicação e permitem acesso a informações dos usuários. Algumas recomendações para interfaces de administração de aplicações web são:
  1. Segregar as interfaces: a interface de administração deve ser construída e publicada como se fosse uma aplicação à parte, de forma que seja possível definir usuários e permissões específicos e para que possa ocorrer controle de acesso na infra-estrutura (firewalls, firewall de aplicação, publicação apenas em rede privada, etc).
  2. Usar certificados de cliente para autenticação: permite uma autenticação mais robusta e evita ataques de força bruta nas senhas.
  3. Remover usuários e funcionalidades default: aplicações desenvolvidas por terceiros em geral incluem na instalação padrão usuários e funcionalidades desnecessárias. Estes usuários e funcionalidades devem ser removidos ou desabilitados. Para usuários, se não for possível removê-los, as senhas devem ser trocadas por senhas aleatórias e longas para evitar força bruta.
  4. Exigir senhas fortes: a aplicação deve ser configurada ou construída de forma a permitir a verificação da qualidade das senhas e apenas senhas fortes devem ser permitidas.
  5. Atrasos aleatórios para senhas erradas: a aplicação deve implementar atrasos aleatórios crescentes para os caso em que a senha estiver incorreta. Isto dificulta ataques de força bruta por introduzir um tempo extra em cada teste de senha realizado.
  6. Número máximo de tentativas de login: a aplicação deve controlar o número de tentativas de login mal sucedidas de cada usuário e travar a conta temporáriamente em caso de excesso de tentativas. Para evitar chamadas de suporte, as contas podem ser travadas por um tempo pré-determinado e voltarem a funcionar normalmente após este prazo.
  7. Mostrar data e hora do último acesso: isto permite que o usuário verifique se a conta foi usada indevidamente por outra pessoa, dando-lhe a chance de avisar ao suporte ou trocar a senha.
Fonte:
Matasano Security, My Pentest Secret: Password Guessing, Jan 2009: http://www.matasano.com/log/1342/my-pentest-secret-password-guessing/
Comments