Broken authentication

{{Broken Authentication}}

 

Cookie not expired after logout

cookie editor => import => logout => export cookie => and BOOM! login

ini berarti cookie tidak kadaluarsa ketika hacker brhasil mencuri cookie korban dia akan otomatis masuk ke akun korban

Password Reset Link not expiring after changing the email

 email=nfuk361@gmail.com => request password reset link don't use => change email to zvuytxlokn@gmail.com => use password reset link => password changed

Penyerang masih dapat mengubah kata sandi jika korban mengira akunnya telah dibobol dan memutuskan untuk mengubah emailnya.

CSRF token in cookie

CSRF token yang disimpan di sisi client seperti di cookie browser tidak aman karena ketika cookie tersebut tercuri misal oleh serangan XSS maka si penyerang dapat meluncurkan serangan CSRF melalui CSRF token yang tercuri. CSRF token lebih aman disimpan di sisi server sehingga ketika ada pencurian cookie CSRF token tidak akan tercuri juga