¿Cómo puedo analizar los tokens de recuperación de contraseña?

Navega tus respuestas
1

Todos los sitios web que admiten interacciones de usuarios autenticados tienen una función de recuperación de contraseña. Por lo general, enviarán por correo electrónico el enlace para restablecer la contraseña a través del cual puede recuperar fácilmente su cuenta escribiendo una nueva contraseña. Por lo tanto, al probar algunos de estos sitios web, me he dado cuenta de que el token de recuperación de contraseña parece ser algo que se puede suponer. Algunos de los sitios web utilizan codificación MD5 o Base64 para sus tokens de recuperación de contraseña.

Entonces, mi pregunta es si hay algún procedimiento estándar que podamos usar para determinar la fuerza de un token o el método a través del cual se ha generado el token.

Ejemplo de enlace de recuperación de contraseña:

http://example.com/users/password?recover_token=qQGgQrwzzz1SV1X9xznc

(donde el token de recuperación de contraseña es qQGgQrwzzz1SV1X9xznc)

    
pregunta justtrying123 03.04.2014 - 20:55
fuente

2 respuestas

3

Si no tiene acceso al código fuente, tendrá que hacer varios intentos para ver si hay algún patrón en la generación del token. Si es un incrementador básico, esto puede ser fácil de vencer. También puedes tener en cuenta la longitud del token.

Aquí hay algunas guías de OWASP sobre el tema, que pueden ser útiles:

Esto te ayudará con la parte de prueba, pero es posible que desees abrir una pregunta en el cryto o math SE sobre cómo harías para la predicción de patrones.

    
respondido por el Eric G 03.04.2014 - 21:42
fuente
1

Burp puede ejecutar análisis estadísticos en tokens con la herramienta Secuenciador .

  
  • Envíe solicitudes que devuelvan un token de seguridad de otras herramientas de Burp Suite para probarlas en Burp Sequencer.
    •   
  • Vuelva a emitir la misma solicitud repetidamente, para generar una gran muestra de tokens para el análisis estadístico.
    •   
  • Realice un conjunto riguroso de pruebas, incluidas las pruebas estándar FIPS y otras, para estimar el grado de aleatoriedad dentro de la muestra, tanto a nivel de caracteres como de bits.   Comience a realizar el análisis con tan solo 100 tokens, y vuelva a realizar esto mientras se recolecta una muestra más grande, hasta el tamaño de muestra recomendado por FIPS de 20,000 tokens.
    •   
  • Vea un resumen intuitivo de un vistazo de todas las pruebas realizadas, lo que le permite comprender rápidamente la calidad general de la aleatoriedad.
    •   
  • Revise el resultado detallado de la prueba gráfica, lo que le permitirá profundizar en los motivos detallados por los cuales partes individuales del token pasaron o fallaron cada prueba.   Cargue una muestra existente de tokens para análisis, si ya se han capturado en otro lugar.
    •   

Esta funcionalidad está disponible en la edición gratuita.

    
respondido por el SilverlightFox 04.04.2014 - 10:59
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el punto al IPEK en DUKPT? ¿Es adecuado bcrypt para uso moderno? [duplicar]