Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

PRMS > Authentication > Flashcards

Authentication Flashcards

1
Q

Authentication Allgemein

A
  • Prozess des Nachweises der Echtheit

- sollte sich aus mehreren Faktoren zusammensetzen (Besitz, Wissen, Eigenschaften)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Authentication

Angriffe

A
  • Session Fixiation
  • Cross-Site Request Forgery (CSRF)
  • Hash Length Extension
  • Certificate Path creation and Validation
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Session Fixiation

Erklärung

A
  • Angreifer fixiert eine Session ID bevor sich ein Nutzer einloggt
  • Der Angreifer muss bis zum Aufruf des Users dafür sorge, dsas der Server die Sessen vorhält.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Session Fixiation

Lösungsmöglichkeiten

A
  • Start einer neuen Session bei jedem Login
  • Wenn möglich nur Session starten, nachdem der Nutzer authenthisiert wurde
  • Nutzung der Session ID beschränken
    • Koppeln an eine IP Adresse
    • Logout zerstört Session
    • Session Timeouts
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Cross Site Request Forgery

Erklärung

A
  • Eine Web App kann nicht erkennen, ob ein korrekt aufgebauter, valider, konsistenter Request absichtlich durch den User erfolgte
  • Angreifer muss Client dazu bringen, Request abzusetzen (z.B. Ajax)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Cross Site Request Forgery

Lösungsansatz

A
  • Jeder Request sollte einen unvorhersagbaren, individuellen Token beinhalten
  • Seite sollte nicht für XSS anfällig sein
  • Nutze keinen GET-Request für Aufrufe, die eine Status-Änderung anstossen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Hash length Extension Attack

Allgemein

A
  • Finden bei REST-APIs Verwendung
  • API verwendet einen Pre-Shared API key, der als Authentication Token verwendet wird
  • API Key wird an Daten angehangen und darüber der Hash gebildet
  • Angreifer kann Daten anhängen und Hash bleibt valide
  • Zustand des Hash-Verfahrens des Originalen Strings als Startzustand für das Hash-Verfahren des geänderten String genutzt
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Hash length Extension Attack

Lösungsansatz

A
  • Verwenden eines nicht anfälligen Hash-Verfahrens (Sha-224, Sha-384 .. )
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Certificate Path Creation and Validation

Allgemein

A
  • Problem ist die nicht korrekte/ vollständige Prüfung von Zertifikatsketten
  • verschiedene Vertrauensmodelle
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Certificate Path Creation and Validation
Allgemein
Bsp. Android

A

Android bietet eine Funktion verify, die prüft allerdings nur den Gültigkeitszeitraum eines Zertifikats

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

PRMS (7 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions