A07:2021 - فشل التعريف والمصادقة

يحدث فشل المصادقة عندما يطبق تطبيق ما إدارة الجلسات أو وظائف الهوية بشكل خاطئ، مما يسمح للمهاجمين باختراق حسابات المستخدمين.

ثغرات المصادقة الرئيسية

1. إدارة كلمات مرور ضعيفة: السماح بكلمات مرور قصيرة وشائعة، أو استخدام هاشات قديمة (MD5).
2. معرفات الجلسة المكشوفة: تخزين رموز الجلسة (cookies) بدون علامات Secure أو HttpOnly ، مما يجعلها عرضة لهجمات XSS أو استنشاق الشبكة.
3. الثغرة تجاه التخمين: الفشل في تطبيق سياسات قفل الحساب بعد محاولات فاشلة متكررة، مما يجعل هجمات القاموس سهلة.
4. استرداد غير لائق لبيانات الاعتماد: عيوب في وظيفة 'نسيت كلمة المرور' (مثلاً إرسال كلمة المرور بنص صريح عبر البريد).

الدفاع: طبق المصادقة متعددة العوامل (MFA)، واستخدم خوارزميات تحصين قوية (Bcrypt)، وتأكد من أن رموز الجلسة قصيرة الأمد ويتم نقلها بأمان.