Broken Authentication — כשמנגנון ההתחברות שביר
צוות CyberHub · לפני 23 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
התחברות חלשה היא אחת הפרצות הנפוצות: סיסמאות חלשות, ניהול sessions לקוי, והיעדר 2FA. נסביר את הסיכונים ואיך מתגוננים.
מנגנון ההתחברות הוא השער לחשבון. אם הוא שביר — הכל פרוץ. זו קטגוריה בולטת ב-OWASP Top 10.
חולשות נפוצות
- סיסמאות חלשות מותרות — "123456" עובר.
- אין הגבלת ניסיונות — מאפשר כוח גס.
- ניהול session לקוי — מזהי session צפויים, או שלא פגים.
- שחזור סיסמה חלש — שאלות אבטחה שקל לנחש.
- אין 2FA — סיסמה לבד לא מספיקה.
Session Hijacking
אם תוקף גונב את מזהה ה-session שלכם (למשל דרך XSS או רשת לא-מוצפנת) — הוא "הופך אליכם" בלי סיסמה.
הגנות
- 2FA / MFA — ההגנה היחידה והחשובה ביותר.
- הגבלת קצב וזיהוי ניסיונות חריגים.
- Session מאובטח — מזהה אקראי חזק, cookie עם HttpOnly+Secure+SameSite, פקיעה אחרי זמן.
- מדיניות סיסמאות חכמה — אורך > מורכבות, בדיקה מול סיסמאות שדלפו.
הלקח: ההתחברות היא קו ההגנה הראשון — חזקו אותה לפני הכל.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
🔴 עוד התקפה
SQL Injection מוסבר בפשטות
SQL Injection היא אחת החולשות הוותיקות והמסוכנות ב-web: התוקף 'מזריק' פקודות לבסיס הנתונים דרך שדה תמים. נסביר איך זה עובד ואיך מתגוננים.
XSS מוסבר — כשאתר מריץ קוד של תוקף בדפדפן שלכם
XSS (Cross-Site Scripting) היא חולשה שבה תוקף מזריק קוד JavaScript לאתר, והקוד רץ אצל משתמשים אחרים. נסביר את הסוגים ואיך מתגוננים.
Brute Force ו-Credential Stuffing — ניחוש סיסמאות בקנה מידה
תוקפים מנסים אינסוף סיסמאות (brute force) או משתמשים בסיסמאות שדלפו מאתרים אחרים (credential stuffing). נסביר ואיך עוצרים.