V3.2.2 Session Binding

Requirement:#

Verify that session tokens possess at least 64 bits of entropy. (C6)

Explanation:#

Entropy: Энтропия в контексте безопасности означает случайность или непредсказуемость данных. В криптографических терминах энтропия измеряет количество битов случайности в фрагменте данных. Более высокая энтропия означает большую непредсказуемость и, следовательно, повышенную защищенность от атак на угадывание.

64 Bits of Entropy: Требование говорит о том, что сессионные токены, используемые приложением, должны обладать энтропией не менее 64 бит. Другими словами, сессионные токены должны быть сгенерированы таким образом, чтобы обеспечить минимум 64 бита случайности.

Это требование является ключевым для обеспечения безопасности пользовательских сессий. Если сессионные токены не обладают достаточной энтропией, злоумышленники могут угадать или перебрать их, фактически перехватив легитимные пользовательские сессии. Если злоумышленник получает контроль над сессией пользователя, он может получить доступ к конфиденциальной информации, выполнить несанкционированные действия от имени пользователя или подделать данные приложения.

Обеспечивая энтропию сессионных токенов не менее 64 бит, веб-приложение делает вычислительно невозможным для злоумышленника угадать или предсказать действительные сессионные токены, что значительно снижает риск атак, связанных с сеансами.

Важно отметить, что для генерации сессионных токенов с достаточной энтропией следует использовать криптографические алгоритмы и проверенные библиотеки. Разработчики также должны позаботиться о безопасном управлении и работе с сессионными токенами, используя для их передачи протокол HTTPS и устанавливая соответствующие политики истечения срока действия и ре-генерации, чтобы минимизировать риск перехвата сеанса.

Remediation:#

Чтобы выполнить требование о наличии сессионных токенов с энтропией не менее 64 бит, необходимо выполнить следующие действия:

Использовать криптографически безопасный генератор случайных чисел (CSPRNG).

Убедиться, что для генерации сессионных токенов используется надежный криптографический алгоритм или библиотека. Генератор случайных чисел с криптографической защитой (CSPRNG) предназначен для создания непредсказуемых и случайных данных, обеспечивающих необходимый уровень энтропии.

Проверить уровни энтропии.

Периодически проверять уровень энтропии генерируемых сессионных токенов. Для оценки случайности генерируемых токенов и проверки их соответствия требованию 64-разрядной энтропии можно использовать инструменты или библиотеки.

Длина токена и набор символов.

Для повышения энтропии необходимо убедиться, что сессионные токены достаточно длинные и используют разнообразный набор символов. Чем длиннее токен и чем шире набор используемых символов, тем выше энтропия. Для повышения непредсказуемости следует использовать сочетание прописных и строчных букв, цифр и специальных символов.

Избегать последовательных или предсказуемых токенов.

Избегать использования последовательных или легко угадываемых сессионных токенов. Последовательные токены или токены с шаблонами уязвимы для атак перечисления, когда злоумышленники могут предсказать последующие токены на основе ранее увиденных токенов.

Ротация токенов сеанса.

Реализовать механизм регулярной ротации сессионных токенов. Периодическая смена токенов (например, при входе в систему, через определенный промежуток времени или после определенных событий) позволяет ограничить временной промежуток, в течение которого злоумышленник может угадать действительный токен.

Ограничить использование токенов.

Сессионные токены должны быть одноразовыми или ограниченными по времени, то есть действовать только в течение короткого периода. Это позволяет уменьшить последствия компрометации токена и ограничить время, необходимое злоумышленнику для его использования.

Использовать HTTPS.

Для передачи сессионных токенов между клиентом и сервером всегда использовать протокол HTTPS. Это обеспечивает безопасную передачу токенов по зашифрованным соединениям, защищая их от перехвата и подделки.

Безопасное хранение токенов.

Безопасное хранение сессионных токенов на стороне клиента (например, в HTTP-only cookies) предотвращает несанкционированный доступ и подделку со стороны клиентских скриптов. Также следует избегать раскрытия конфиденциальной информации о токенах в URL-адресах, журналах или сообщениях об ошибках.

Мониторинг и обнаружение аномальных активностей.

Внедрять механизмы мониторинга и обнаружения аномалий для выявления подозрительных действий, связанных с сессионными токенами. Это позволяет выявлять потенциальные атаки, такие как попытки перебора или чрезмерные запросы токенов.

Регулярное тестирование безопасности.

Регулярно проводить оценку безопасности, например, тестирование на проникновение и анализ кода, чтобы выявить и устранить все недостатки в процессе генерации и обработки сессионных токенов.

Пример создания сессионного токена с энтропией не менее 64 бит с помощью Node.js:

const crypto = require('crypto');

function generateSessionToken() {
  return crypto.randomBytes(32).toString('hex');
}

В этом примере метод crypto.randomBytes() используется для генерации 32 случайных байтов, которые затем преобразуются в шестнадцатеричную строку. Это обеспечивает маркер сеанса с 64 шестнадцатеричными символами, что эквивалентно 256 битам энтропии.

Additional:#

https://owasp.org/www-community/vulnerabilities/Insufficient_Session-ID_Length

https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html