BETA Shoulder jest w wersji beta — Wyniki mogą czasami być błędne. Twoja opinia kształtuje to, co naprawimy w następnej kolejności. Podziel się opinią
Shoulder.dev

Platforma Bezpieczenstwa dla Programistow
🔄

Weak Password Recovery Mechanism for Forgotten Password

🛡️ 3 reguł wykrywa to

Weak Password Recovery Mechanism for Forgotten Password

The product contains a mechanism for users to recover or change their passwords without knowing the original password, but the mechanism is weak.

Weak password recovery mechanisms can be exploited to take over user accounts. Common issues include predictable reset tokens, security questions with easily guessable answers, or lack of verification.

Rozpowszechnienie
Wysoka
Często wykorzystywana
Wplyw
Wysoki
3 reguł o wysokim poziomie
Zapobieganie
Udokumentowane
3 przykładów poprawek
2 Zapobieganie
2 Zapobieganie

Jak naprawić tę podatność

Strategie zapobiegania dla Weak Password Recovery oparte na 3 regułach detekcji Shoulder.

🐹 Go Zobacz wszystko Go szczegóły →
Weak Password Reset Token HIGH

Use crypto/rand with 32+ bytes of entropy for password reset tokens

+11 -2 go 
- func generateResetToken() string {
-     return fmt.Sprintf("%d", time.Now().Unix())
+ import (
+     "crypto/rand"
+     "encoding/hex"
+ )
+ 
+ func generateResetToken() (string, error) {
+     b := make([]byte, 32)
+     if _, err := rand.Read(b); err != nil {
+         return "", err
+     }
+     return hex.EncodeToString(b), nil
  }
🟨 JavaScript Zobacz wszystko JavaScript szczegóły →
Weak Password Reset Token HIGH

Use crypto.randomBytes() instead of Math.random() for security tokens

+2 -1 javascript 
- user.resetToken = Math.random().toString(36);
+ const crypto = require('crypto');
+ user.resetToken = crypto.randomBytes(32).toString('hex');
  await user.save();
🐍 Python Zobacz wszystko Python szczegóły →
Weak Password Reset Token HIGH

Use the secrets module for cryptographically secure token generation

+4 -6 python 
- import random
- 
- def create_reset_token():
-     chars = 'abcdef0123456789'
-     reset_token = ''.join(random.choice(chars) for _ in range(32))
-     return reset_token
+ import secrets
+ 
+ def create_reset_token():
+     return secrets.token_urlsafe(32)
3 Wykrywanie
3 Wykrywanie

Znajdz podatnosci w swoim kodzie

Uzyj Shoulder do skanowania kodu w poszukiwaniu wzorcow Weak Password Recovery Mechanism for Forgotten Password. 3 reguly.

terminal
# Scan with Shoulder CLI
npx @shoulderdev/cli trust --cwe=640

# Or scan entire project
npx @shoulderdev/cli trust .

Reguly Wykrywania (3)

4 Sygnaly Ostrzegawcze
4 Sygnaly Ostrzegawcze

Na co zwracac uwage podczas przegladu kodu

Te wzorce wskazuja na potencjalne podatnosci Weak Password Recovery Mechanism for Forgotten Password. Szukaj ich podczas przegladow kodu i audytow bezpieczenstwa.

🟠
predictable random number generation (Math javascript-weak-password-reset-token
🟠
password reset tokens generated using weak or predictable methods like timestamps or non-cryptograph python-weak-reset-token
🔍

Przeskanuj swój kod w poszukiwaniu Weak Password Recovery Mechanism for Forgotten Password

Shoulder CLI znajduje podatne wzorce w całym Twoim kodzie.

npx shoulder trust Przeglądaj wszystkie reguły