機能レベルのアクセス制御がありません

ほとんどのWebアプリケーションは、ユーザーがその機能にアクセスできるようにする前に、機能レベルのアクセス権を確認します。ただし、サーバーで同じアクセス制御チェックが実行されない場合、ハッカーは適切な許可なしにアプリケーションに侵入する可能性があります。

簡単な図を使用して、この欠陥の脅威エージェント、攻撃ベクトル、セキュリティの弱点、技術的影響、およびビジネスへの影響を理解しましょう。

これは、機能レベルのアクセス制御が欠落している典型的な例です。

ハッカーは単にターゲットURLを強制します。通常、管理者アクセスには認証が必要ですが、アプリケーションアクセスが確認されていない場合、認証されていないユーザーが管理ページにアクセスできます。

' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage

' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page

ハンズオン

Step 1 −最初にユーザーとそのアクセス権限のリストを確認して、アカウントマネージャーとしてログインしましょう。

Step 2 −さまざまな組み合わせを試してみると、ラリーがリソースアカウントマネージャーにアクセスできることがわかります。

予防メカニズム

  • 認証メカニズムは、デフォルトですべてのアクセスを拒否し、すべての機能の特定のロールへのアクセスを提供する必要があります。

  • ワークフローベースのアプリケーションでは、ユーザーがリソースにアクセスできるようにする前に、ユーザーの状態を確認します。