Improper Access Control

Es una debilidad de seguridad común que describe la falla en restringir o controlar adecuadamente el acceso a los recursos de un sistema. Esto significa que los atacantes, o incluso usuarios no autorizados dentro del sistema, pueden acceder a recursos que no deberían poder.

El control de acceso implica el uso de varios mecanismos de protección como:

  • Autenticación (probar la identidad de un actor)

  • Autorización (asegurar que un actor determinado pueda acceder a un recurso)

  • Responsabilidad (seguimiento de las actividades que se realizaron)

Cuando algún mecanismo no se aplica o falla, los atacantes pueden comprometer la seguridad del producto obteniendo privilegios, leyendo información confidencial, ejecutando comandos, evadiendo la detección.

Hay dos comportamientos distintos que pueden introducir debilidades en el control de acceso:

  • Especificación: se especifican explícitamente privilegios, permisos, propiedad, etc. incorrectos para el usuario o el recurso (por ejemplo, configurar un archivo de contraseña para que se pueda escribir en todo el mundo o otorgar capacidades de administrador a un usuario invitado). Esta acción podría ser realizada por el programa o el administrador.

  • Aplicación: el mecanismo contiene errores que le impiden hacer cumplir adecuadamente los requisitos de control de acceso especificados (por ejemplo, permitir al usuario especificar sus propios privilegios o permitir que una ACL sintácticamente incorrecta produzca configuraciones inseguras). Este problema ocurre dentro del propio programa, ya que en realidad no aplica la política de seguridad prevista que especifica el administrador.

Recursos

LogoCWE - CWE-284: Improper Access Control (4.13)
LogoImproper Access Control Vulnerability | CWE-284 Weakness | Exploitation and Remediationimmuniweb
AnteriorIncorrect Default PermissionsSiguienteMissing Authorization

Última actualización