MASWE-0029: 登录后未实现升级认证

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个占位符。但您可以查看其状态或自行着手处理。如果该问题尚未分配，您可以请求将其分配给您，并按照我们的指南提交包含该弱点新内容的 PR。

查看我们的 MASWE-0029 GitHub 问题

初始描述或提示

升级认证的一个例子是，当用户登录到其银行账户（无论是否使用 MFA）并请求执行被视为敏感的操作（例如大额资金转账）时。在这种情况下，用户将被要求提供额外信息以验证其身份（例如使用 MFA），并确保只有合法用户正在请求该操作。

相关主题

• (ioXt) UP107 应用在显示敏感个人身份信息（PII）数据或进行敏感交易时，应重新认证用户。
• 无

参考资料

• https://developer.apple.com/documentation/localauthentication
• https://auth0.com/blog/what-is-step-up-authentication-when-to-use-it/
• https://tdcolvin.medium.com/is-firebase-auth-secure-dace0563d41b
• https://github.com/WICG/trust-token-api
• https://blog.cloudflare.com/eliminating-captchas-on-iphones-and-macs-using-new-standard/

MASTG v1 覆盖范围

MASTG v1 中没有与此弱点相关的测试。