Útok muža uprostred
Jedným z možných útokov na ABRA Flexi je útok Man In The Middle, pri ktorom útočník predstiera, že je serverom ABRA Flexi a používateľ mu poskytne autorizačné údaje, ktoré potom útočník môže použiť na autorizáciu voči skutočným serverom a analyzovať tak priebeh komunikácie.
V predvolenom nastavení ABRA Flexi generuje takzvaný certifikát s vlastným podpisom. Certifikát SSL je možné vymeniť.
ABRA Flexi má niekoľko funkcií, ktoré tento problém eliminujú:
ABRA Flexi si pri spustení stiahne certifikát a overí ho pri práci so serverom. Preto nie je možné nahradiť certifikát za behu.
DANE - uloženie certifikátu v systéme DNS
$ ./swede --insecure create --port 5434 --certificate certificate.pem --selector 1 --output rfc demo.flexibee.eu _5434._tcp.demo.flexibee.eu. IN TLSA 1 0 1 85b928d1cab396d8e632d15d57b3a97ebbc2769ab74a292040dc4fc340153973
Namiesto nástroja SWEDE je možné získať konfiguráciu aj zo spusteného servera ABRA Flexi na adrese /certificate/tlsa.
Potom pridajte tento záznam do DNS:
_5434._tcp.demo.flexibee.eu. IN TXT TLSA 1 0 1 85b928d1cab396d8e632d15d57b3a97ebbc2769ab74a292040dc4fc340153973
Teda celý "TLSA 1 0 1 85b928d1cab396d8e632d15d57b3a97ebbc2769ab74a292040dc4fc340153973" je uložený ako hodnota
V tejto výstave prebieha hľadanie:
5434._tcp.demo.flexibee.eu. 5434._tcp.demo.flexibee.eu.
Upozornenie: Ak nepoužívate aj DNSSec, nie je zaručená bezpečnosť odpovede servera DNS.
Pozor: klient ABRA Flexi v súčasnosti tiež nepodporuje kompletné DANE, ale iba nasledujúce parametre: -selector 1, -mtype 1, -usage 0
CSRF
ABRA Flexi má zabudovanú ochranu proti Cross Site Request Forgery a v tomto ohľade nie je potrebné nič konfigurovať.
SQL Injection a XSS
Počas procesu návrhu sme vynaložili veľké úsilie na zabránenie SQL Injection Cross Site Scripting (XSS). Preto sa tieto typy chýb nevyskytujú.
Ukladanie hesiel
Predtým systém ABRA Flexi používal na ukladanie hesiel šifru MD5. Teraz sa používa SHA256 a soľ. Staré heslá sa prekódujú len pri ich zmene.