𝗚𝗲𝗹𝗶𝗷𝗸𝘁𝗶𝗷𝗱𝗶𝗴𝗲 𝗟𝗼𝗴𝗶𝗻-𝗯𝗲𝘃𝗲𝗶𝗹𝗶𝗴𝗶𝗻𝗴
Onbeperkte logins kunnen ernstige fouten in de bedrijfslogica verbergen.
Een gebruiker logt in op een laptop. Seconden later logt hetzelfde account in op een andere browser. Dan op een mobiel apparaat. Dan via een API-client. Alles werkt perfect.
Dit lijkt prima omdat veel apps meerdere apparaten ondersteunen. Maar je moet jezelf afvragen: moet elke applicatie onbeperkte sessies toestaan?
In sommige systemen zijn meerdere sessies een functie. In andere is het een zwakte die aanvallers gebruiken om onopgemerkt te blijven. Dit is een kwetsbaarheid in de bedrijfslogica. De code werkt zoals ontworpen, maar het ontwerp zelf is zwak.
Het verschil: • Traditionele bugs maken misbruik van programmeerfouten. • Business logic bugs maken misbruik van ontwerpbeslissingen.
Denk aan een streamingdienst voor films. Als één abonnement tien mensen tegelijkertijd laat kijken, werkt het loginsysteem. De bedrijfsregel faalt echter.
Dit is van toepassing op bankieren, beheerderspanels en SaaS-producten.
Hoe je dit kunt testen:
- Log in via Browser A en houd deze actief.
- Open een incognitovenster in Browser B.
- Log in met dezelfde inloggegevens.
- Controleer of de eerste sessie nog steeds werkt.
- Controleer of je op beide sessies gevoelige acties kunt uitvoeren.
Apps met een hoog beveiligingsniveau hanteren vaak deze regels:
- Eén actieve sessie per account.
- Het uitloggen van oude sessies wanneer er een nieuwe login plaatsvindt.
- Beheeropties voor apparaten.
- Meldingen voor nieuwe logins.
Als een aanvaller inloggegevens steelt, kunnen ze voor altijd ingelogd blijven als je onbeperkte sessies toestaat. Ze blijven actief terwijl de echte gebruiker ook actief blijft. Niemand merkt de indringer op.
Context is alles. Apps die veel sessies nodig hebben:
- Messaging-apps.
- Sociale media.
- E-maildiensten.
Apps die strikte controle nodig hebben:
- Bankiersystemen.
- Beheerdersdashboards.
- Gezondheidsplatforms.
Hoe je dit kunt oplossen:
- Sla actieve sessie-ID's op in een database.
- Wanneer er een nieuwe login plaatsvindt, beëindig dan de oude sessie.
- Geef gebruikers inzicht in actieve apparaten en locaties.
- Voeg een knop "Uitloggen op alle apparaten" toe.
- Stuur e-mail- of SMS-meldingen voor nieuwe logins.
Zoek niet alleen naar codefouten zoals SQL-injectie. Zoek naar de kloof tussen wat je app doet en wat je bedrijf vereist.
Bekijk vandaag nog je sessiebeleid. Je grootste risico is misschien geen kapotte code, maar kapotte logica.