Card image cap

Application Lockout

  • Categoría:

  • AppDOS

  • Referencia:

  • OWASP-AD-002

Descripcion:

Hace referencia a la práctica de asegurar que el sistema de autenticación de una aplicación no permita que un atacante bloquee o restablezca las cuentas de usuario de manera maliciosa. Un atacante podría intentar bloquear cuentas de usuario mediante intentos de inicio de sesión fallidos repetidos o manipulación de las políticas de bloqueo, lo que afectaría la disponibilidad de la cuenta.

Herramientas recomendadas:
Recomendaciones para realizar la prueba:

Se recomienda realizar la prueba con la herramienta Burp Suite. Con Burp Suite, se captura la petición POST del formulario de login, y se envía al repeater. Desde el repeater se realizan varios intentos de autenticación para comprobar qué medidas implementa el servidor ante varios intentos fallidos.

Recomendaciones para defenderse del ataque:

Para evitar este tipo de ataques de denegación de servicios, se recomienda configurar un sistema de rate limiting donde se limiten las peticiones por usuario, e implementar un captcha tras varios intentos fallidos de conexión en vez de bloquear la cuenta.