Inicio > GUÍA DE BUENAS PRÁCTICAS > CODIFICACIÓN > VULNERABILIDADES > A7-Ausencia de control de acceso a funciones

https://auditoriadesistemas2014.wordpress.com/

DEFINICIÓN

Esta vulnerabilidad se da por la falta de validación en el procesamiento de URLs con las que se puede invocar recursos sin los derechos apropiados o páginas ocultas

IDENTIFICACIÓN DE VULNERABILIDAD

Verifica que el usuario muestre la navegación en lugares autorizados?

Vigila la autenticación del servidor?

Realiza pruebas de proxies con un rol privilegiado y luego con un rol menos privilegiado?

Revisa el control de acceso en el código?

PREVENCIÓN

Tener un módulo de autorización invocado desde las funciones del negocio que tengan varios componentes externos al código de la aplicación.

Permisos con auditorias y actualizaciones frecuentes e implementarlos directamente en el código sin utilizar parametrizaciones.

El acceso debe ser restringido y negar el acceso por defecto con permisos específico a cada funcionalidad.

_______________________________

Tomado del proyecto original de "GUÍA DE BUENAS PRÁCTICAS PARA EL DESARROLLO DE APLICACIONES WEB SEGURAS, ORIENTADAS A LA FORMACIÓN DE PROGRAMADORES" Liliana Cújar Bahamón. Autora de este sitio web.

MICROSOFT

Esta página ofrece información acerca de los procedimientos básicos de seguridad para aplicaciones web como recomendaciones generales, ejecución con privilegios mìnimos, verificaciòn de usuarios, protección contra entradas malintencionada, acceso seguro a bases de datos, creación de mensajes de errores seguros, seguridad en la información confidencial, uso de cookies, rotección contra denegación de servicio

REFERENCIAS DE APOYO

Esta página entregada por OWASP, da cuenta de esta vulnerabilidad, explicando los motivos por el cual se da, la forma de protegerse y algunos ejemplos pueden encontrarse en esta página que está disponible en: https://www.owasp.org/index.php/Top_10_2007-Failure_to_Restrict_URL_Access.

La interfaz AccessController ofrecida por ESAPI, define un conjunto de métodos que se pueden utilizar en aplicaciones para hacer cumplir el control de acceso, además de algunos ejemplos. Esta página está disponible en: https://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html.

En esta página se ofrece una guía con la que se asegura que el usuario autenticado tiene los privilegios adecuados para acceder a los recursos de acuerdo con el rol correspondiente. Disponible en: https://www.owasp.org/index.php/Guide_to_Authorization

Algunas referencias externas como: CWE Common Weakness Enumeration: respecto de autorizaciones incorrectas o inadecuadas, ejemplos, formas de corrección, esta página está disponible en: cwe.mitre.org/data/definitions/285.html