Ce Se Întâmplă cu Parola Ta După ce Apeși Login

Majoritatea dezvoltatorilor nu îți arată niciodată ce se întâmplă pe server după ce te autentifici. În acest video folosim Burp Suite — același instrument pe care îl folosim când audităm aplicațiile clienților — pentru a intercepta un request real de login și a inspecta ce trimite serverul înapoi.

Testăm două aplicații în paralel. Prima returnează 799 de bytes de date care includ hash-ul parolei, rolul utilizatorului, câmpuri interne din baza de date și un token JWT pe care oricine îl poate decoda în câteva secunde. Decodăm hash-ul MD5 live pe crackstation.net și recuperăm parola în text clar imediat.

A doua aplicație — construită la standardele guwAPI — returnează 39 de bytes: o confirmare și un ID de utilizator. Nimic altceva nu ajunge la client. Niciun hash, niciun rol, nicio dată internă. Prezentăm cele trei decizii arhitecturale care fac acest lucru posibil: gestionarea corectă a credențialelor în loguri, construirea explicită a răspunsului și mesaje de eroare generice care previn user enumeration.