Authentication endpoint request should be HTTPS

• Categoría:

• Authentication

• Referencia:

• OWASP-AUTHN-001

Descripcion:

Las solicitudes al punto de autenticación (por ejemplo, login, registro, etc.) deben realizarse a través del protocolo HTTPS. HTTPS encripta los datos transmitidos entre el cliente (navegador) y el servidor, protegiendo información sensible, como credenciales de usuario, de posibles ataques de intermediarios (man-in-the-middle).

Herramientas recomendadas:

• SSL labs
• Ettercap

Recomendaciones para realizar la prueba:

Entra en la web de SSL labs (https://www.ssllabs.com/ssltest/), escribe el nombre del dominio que quieras comprobar y verifica el estado del certificado digital, así como el cifrado empleado. En el caso de que no estuviera activo el protocolo HTTPS, cualquier usuario podría interceptar la conexión (Sniffing) en el caso de compartir la misma red y ver el contenido de la comunicación mediante el empleo de herramientas como Ettercap, provocando un ataque conocido como Man in the middle.

Esta prueba se realiza para evitar ataques MITM. Para ello, configure el servidor para comunicarse exclusivamente a través del puerto 443 utilizando el protocolo HTTPS, una vez que haya adquirido un certificado digital emitido por una autoridad certificadora (CA) confiable. El certificado digital cumple una doble función, de autenticación y de cifrado. La autenticación verifica la identidad del sitio web, garantizando que pertenece al dominio que afirma ser. El cifrado habilita la protección de la comunicación mediante un sistema de claves públicas y privadas, asegurando que los datos intercambiados entre el cliente y el servidor sean inaccesibles para terceros no autorizados.