Scribd Logo
Importer

Bienvenue sur Scribd !

  • CWE-863 Incorrect Authorization

    Transféré par

    Ruben Delgado
    224 vues7 pages
    Esta vulnerabilidad ocurre cuando se intenta acceder a un recurso que requiere permisos y falla la autenticación del usuario. Puede permitir que un atacante acceda a datos confidenciales, modifique información o obtenga privilegios de administración. Se puede detectar mediante análisis estático automático o manual, simulando amenazas. Para mitigarla, se deben configurar listas de control de acceso, aplicar mecanismos de autorización en el servidor correctamente y asignar roles de permisos limitados a usuarios

    Description originale:

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    Esta vulnerabilidad ocurre cuando se intenta acceder a un recurso que requiere permisos y falla la autenticación del usuario. Puede permitir que un atacante acceda a datos confidenciales, modifique información o obtenga privilegios de administración. Se puede detectar mediante análisis estático automático o manual, simulando amenazas. Para mitigarla, se deben configurar listas de control de acceso, aplicar mecanismos de autorización en el servidor correctamente y asignar roles de permisos limitados a usuarios

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    224 vues7 pages

    CWE-863 Incorrect Authorization

    Transféré par

    Ruben Delgado
    Esta vulnerabilidad ocurre cuando se intenta acceder a un recurso que requiere permisos y falla la autenticación del usuario. Puede permitir que un atacante acceda a datos confidenciales, modifique información o obtenga privilegios de administración. Se puede detectar mediante análisis estático automático o manual, simulando amenazas. Para mitigarla, se deben configurar listas de control de acceso, aplicar mecanismos de autorización en el servidor correctamente y asignar roles de permisos limitados a usuarios

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 7

    CWE-863: Incorrect Authorization

    RUBEN DELGADO CABALLERO

    Qu es?

    Es una vulnerabilidad en la web que ocurre cuando se intenta acceder a un recurso que se necesita un permiso, ocurre un error cuando se comprueban los credenciales a la hora de autentificar. Es dicho error en la comprobacin el que permite al atacante atacar a la pgina Es un exploit de fcil explotacin.

    Consecuencias de esta vulnerabilidad


    Confidencialidad: Leer datos de la aplicacin, leer archivos o directorios. Integridad: Modificar datos de la aplicacin, los archivos o directorios Control de Acceso: Un atacante puede obtener privilegios mediante la modificacin o la lectura de datos crticos directamente (tipo chmod en Ubuntu), o accediendo a la funcionalidad de administracin del sitio

    Mtodos para detectar la vulnerabilidad (I)


    Anlisis esttico automatizado:

    El anlisis esttico automatizado es til para detectar expresiones de lenguajes de uso comn para la autorizacin. Una herramienta puede ser capaz de analizar archivos de configuracin relacionados, tales como Htaccess en servidores web Apache, o detectar el uso de bibliotecas de autorizacin de uso comn.

    Metodos para detectar la vulnerabilidad (II)


    Anlisis Esttico Manual Esta debilidad puede ser detectada usando herramientas y tcnicas que requieren un anlisis manual (humana), tales como las pruebas de inyeccin, simular amenazas, y herramientas interactivas que permiten modificar una sesin activa. En concreto, el anlisis esttico manual es til para evaluar la exactitud de los mecanismos de autorizacin.

    Cmo disminuir o mitigar esta vulnerabilidad? (I)

    Configuracin del sistema, la instalacin

    Utilizar las funciones de control de acceso de su sistema operativo y entorno de servidor y definir sus listas de control de acceso en consecuencia. Utilice una "denegacin predeterminada" en la definicin de la poltica de estas LCA.

    Arquitectura y Diseo

    Para las aplicaciones Web, asegrese de que el mecanismo de control de acceso se aplique correctamente en el lado del servidor en cada pgina. Los usuarios no deben ser capaces de acceder a cualquier funcionalidad no autorizada o informacin simplemente solicitando acceso directo a esa pgina.

    Cmo disminuir o mitigar esta vulnerabilidad? (II)

    Dividir el software en roles annimos, normal, privilegiados, y administrativos. Para reducir la superficie de ataque mediante la asignacin de roles de permisos a los. Utilizar roles de control de acceso (RBAC) [ R.863.1 ] para cumplir las funciones de los lmites apropiados. Tener en cuenta que este enfoque puede no proteger contra la autorizacin horizontal, es decir, no va a proteger a un usuario de atacar a otros con la misma funcin.

    Vous aimerez peut-être aussi