Az OWASP Top 10 kiadvány a webes alkalmazásokban előforduló leggyakoribb sérülékenységek gyűjteménye. A következő bejegyzés sorozatban bemutatjuk ezeket a hibákat és a bennük rejlő kockázatokat. Ebben a bejegyzésben az jogosulatlan hozzáférést mutatjuk be.
A sérülékenység háttere
Az alkalmazás nem menedzseli megfelelően a felhasználók hozzáférési és jogosultsági szintjeit, így egy támadó ezt ki tudja használni és kéréseket küldhet más felhasználó, vagy adminisztrátor jogosultágával.
A sérülékenység meglehetősen gyakori, mivel az automata sérülékenység vizsgáló szoftverek ritkán találják meg.
Kockázat
A támadó leggyakrabban illetéktelenül információkat (pl.: személyes adatok, számlainformációk) csalhat ki az alkalmazásból, valamint jogosulatlanul végezhet műveleteket (pl.: átutalás, vásárlás, adatok törlése).
A sérülékeny funkciótól függően akár komoly anyagi károkat, valamint presztízsveszteséget is okozhat a jogosulatlan hozzáférés.
Tesztelés
A jogosulatlan hozzáférés tesztelése logikai következtetéseket igényel, így az automata sérülékenység vizsgálatok ritkán hoznak eredményt . Az etikus hacker manuális sérülékenység vizsgálati módszerekkel teszteli az alkalmazást és fedi fel a rosszul implementált jogosultsági rendszereket.
Megelőzés
A CORS használatának minimalizása.
A könyvtárak listázásának tiltása a szerveren.
Részletes jogosultsági és hozzáférési modell alkalmazása az applikációban, valamint ezek rendszeres ellenőrzése.
A felhasználók aktivitásának naplózása, több jogosultsági hiba esetén az adminok értesítése.