XRP Enterprise Ideas Portal
Hemos pasado recientemente una auditoría sobre nuestras aplicaciones. Uno de los puntos que detectan y que no cumple con los estandares para desarrolladores de aplicaciones web, es el mensaje que se ofrece desde la opción de "He olvidado la contraseña" desde la ventana de login.
El mensaje devuelto permite identificar si el usuario existe o no en la plataforma. Si se introduce un usuario válido y se pulsa esta opción, karat pregunta por las "preguntas de seguridad" porque da por válido el usuario introducido. Si el usuario introducido no es válido y se pulsa esta opción se indica que el usuario está desactivado. Se adjunta capturas.
Según la auditoría, se pueden seguir esta serie de recomendaciones desde el siguiente enlace de buenas practicas para desarrolladores web:
https://owasp.org/top10/es/a07_2021-identification_and_authentication_failures/
Recomiendan:
Implementar mensajes de error estándar que no revelen información a un posible atacante.
Implementar mecanismos de Captcha que protejan sobre ataques automatizados.
Saludos.
Muchas gracias por la información. Voy a derivarlo a los equipos para que analicen esta recomendación y poder daros así una respuesta.
Un saludo