1 :Broken access control

Control de acceso roto

El control de acceso ,que los usuarios no pueden actuar fuera de sus permisos previstos. Los fallos suelen dar lugar a accesos no autorizados. divulgación de información, modificación o destrucción de todos los datos o realizar una función comercial fuera de los límites del usuario.

Acceso común Las vulnerabilidades de control incluyen:

Violación del principio de privilegio mínimo o denegación por defecto, donde el acceso sólo debe otorgarse para capacidades particulares, roles o usuarios, pero está disponible para cualquiera.
Eludir las comprobaciones de control de acceso modificando la URL (parámetro manipulación o navegación forzada), el estado interno de la aplicación o el página HTML o mediante el uso de una herramienta de ataque que modifique las solicitudes de API.
Permitir ver o editar la cuenta de otra persona, proporcionando su identificador único (referencias directas a objetos inseguros)
Accediendo a API a la que le faltan controles de acceso para POST, PUT y DELETE.
Elevación de privilegios. Actuar como usuario sin haber iniciado sesión o actuando como administrador cuando inicia sesión como usuario.
Manipulación de metadatos, como reproducir o alterar un JSON Token de control de acceso Web Token (JWT), o una cookie o un campo oculto manipulado para elevar privilegios o abusar de la invalidación de JWT.
La configuración incorrecta de CORS permite el acceso a API desde personas no autorizadas/no confiables orígenes.
Forzar la navegación a páginas autenticadas como usuario no autenticado o a páginas privilegiadas como usuario estándar.

Ejemplos de escenarios de ataque

Escenario #1: La aplicación utiliza datos no verificados en una llamada SQL que está accediendo a la información de la cuenta:

 pstmt.setString(1, request.getParameter("acct"));
 ResultSet results = pstmt.executeQuery( );

Un atacante simplemente modifica la "cuenta" del navegador. parámetro a enviar cualquier número de cuenta que quieran. Si no se verifica correctamente, el El atacante puede acceder a la cuenta de cualquier usuario.

 https://example.com/app/accountInfo?acct=notmyacct

Escenario n.º 2: Un atacante simplemente fuerza la navegación a las URL de destino. Administración Se requieren derechos para acceder a la página de administración.

 https://example.com/app/getappInfo
 https://example.com/app/admin_getappInfo

Si un usuario no autenticado puede acceder a cualquiera de las páginas, se trata de un defecto. si un los no administradores pueden acceder a la página de administración, esto es un defecto.