Blank Passwords

• Categoría:

• Authentication

• Referencia:

• OWASPAUTHN-010

Descripcion:

Esta prueba verifica si la aplicación permite el uso de contraseñas vacías al registrar usuarios, cambiar contraseñas o iniciar sesión. Permitir contraseñas vacías puede dar acceso no autorizado a los atacantes y comprometer la seguridad del sistema.

Herramientas recomendadas:

• Burp Suite

Recomendaciones para realizar la prueba:

Los atacantes intentan iniciar sesión con cuentas utilizando contraseñas vacías, confiando en que algunos sistemas no validen correctamente este escenario. Esto les permite acceder a cuentas sin necesidad de descifrar contraseñas o realizar ataques más sofisticados. Se recomienda configurar Burp Suite para interceptar las solicitudes de registro, inicio de sesión y cambio de contraseña. Modificar los valores de la contraseña en las solicitudes para enviarlas en blanco y observar las respuestas del servidor para comprobar si se permite el uso de contraseñas vacías.

Asegúrate de que el sistema valide que las contraseñas no estén vacías en cada punto donde se ingresan o actualizan. Esto incluye tanto los formularios de registro como los de cambio de contraseña. Además, aplica políticas de contraseñas seguras para evitar otros problemas relacionados con contraseñas débiles. Realiza pruebas regulares para identificar si existen cuentas con contraseñas vacías y desactiva cualquier cuenta que no cumpla con los estándares de seguridad.