VPN
Múltiplas conexões
Quando a mesma conta da VPN é usada por mais de uma sessão ao mesmo tempo.
Como forma de validação, deve ser aberto sessões simultâneas com duas origens diferentes.
Deve validar também quando o logout é realizado se apenas uma das sessões é encerrada ou ambas.
MFA
O MFA deve ser implementado de maneira obrigatória ao usuário, ao fazer a requisição de login na VPN.
Brute Force
A VPN deve possuir mecanismos anti-automação impedindo ataques de brute force/password spray.
Enumeração
A VPN deve apresentar a mesma resposta ao inserir usuários válidos e inválidos em todos os fluxos como no campo de login e redefinição de senha, impedindo com que a vulnerabilidade de enumeração ocorra.
Restrição de país
Para validar essa vulnerabilidade, antes de realizar o login na VPN, deve ser ativado outra VPN levando o IP para outro país a fim de validar a restrição por geolocalização.
Automação
Algumas ferramentas como Nuclei, ike-scan são muito úteis para automatização e check de itens presentes na página da VPN e na VPN em si.
Atualizado
Isto foi útil?