Broken Access Control | OWASP #1 Analysis

Když selže ověření identity

Identification and Authentication Failures se zaměřují na slabiny v potvrzování identity uživatele a následnou správu jeho sezení (Session Management). Pokud tyto mechanismy nefungují, útočník nepotřebuje hacknout databázi – prostě se do systému "přihlásí" jako oběť (Account Takeover).

Kritické slabiny k testování:

Permissive Authentication: Povolení slabých hesel nebo absence ochrany proti hrubé síle (Brute-force).
Credential Stuffing: Zneužití automatizovaných skriptů k testování uniklých přihlašovacích údajů z jiných služeb.
Broken Session Management: Předvídatelná Session ID, chybějící invalidace tokenů po odhlášení nebo úniky Session ID v URL.

Pokročilé útočné scénáře

V BBP se soustředíme na techniky, které obcházejí i moderní zabezpečení:

Session Hijacking & Fixation

Únos sezení přes ukradenou cookie nebo vnucení (fixace) Session ID uživateli předtím, než se přihlásí. Pokud se ID po login nezmění, útočník má přístup.

MFA / 2FA Bypass

Hledání logických chyb, které dovolí přeskočit druhý faktor (např. přístup přímo na /dashboard po zadání hesla, bez čekání na kód).

OAuth 2.0 Misconfiguration

Chyby v implementaci "Login with Google/Facebook". Například manipulace s redirect_uri pro krádež autorizačního kódu.

Analýza v praxi: Reset hesla (Password Reset)

Proces obnovy hesla je často nejzranitelnějším místem. Bug hunteři analyzují resetovací tokeny z hlediska:

auth_research — token_analysis

GET /password-reset?token=MTI0_2026-01-25
# Dekódování Base64: 124_2026-01-25
# Zjištění: Token se skládá z ID uživatele a data.
# Útok: Predikce tokenu pro admina (ID 1) -> M_2026-01-25
Result: ACCOUNT_TAKEOVER_SUCCESS

Prevence a Secure Session Management

Moderní aplikace musí implementovat obranu, která počítá s automatizovanými útoky i lidskou chybou.

Opatření	Technická implementace
MFA / FIDO2	Povinný druhý faktor, ideálně hardwarové klíče.
Cookie Hardening	Atributy: `HttpOnly`, `Secure`, `SameSite=Strict`.
Rate Limiting	Blokování IP nebo účtu po X neúspěšných pokusech (nebo CAPTCHA).
Token Rotation	Generování zcela nového Session ID po každé změně stavu (Login, Role change).

Trendy OWASP 2025: Bezheslový přístup

Budoucnost směřuje k Passwordless (WebAuthn, Passkeys). Tyto technologie eliminují riziko Credential Stuffingu, protože uživatel nemá žádné statické heslo, které by mohl útočník zneužít. Nicméně i zde vznikají nové hrozby v implementaci API, která tyto protokoly obsluhují.