機能レベルのアクセス制御がありません
ほとんどのWebアプリケーションは、ユーザーがその機能にアクセスできるようにする前に、機能レベルのアクセス権を確認します。ただし、サーバーで同じアクセス制御チェックが実行されない場合、ハッカーは適切な許可なしにアプリケーションに侵入する可能性があります。
簡単な図を使用して、この欠陥の脅威エージェント、攻撃ベクトル、セキュリティの弱点、技術的影響、およびビジネスへの影響を理解しましょう。
例
これは、機能レベルのアクセス制御が欠落している典型的な例です。
ハッカーは単にターゲットURLを強制します。通常、管理者アクセスには認証が必要ですが、アプリケーションアクセスが確認されていない場合、認証されていないユーザーが管理ページにアクセスできます。
' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage
' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page
ハンズオン
Step 1 −最初にユーザーとそのアクセス権限のリストを確認して、アカウントマネージャーとしてログインしましょう。
Step 2 −さまざまな組み合わせを試してみると、ラリーがリソースアカウントマネージャーにアクセスできることがわかります。
予防メカニズム
認証メカニズムは、デフォルトですべてのアクセスを拒否し、すべての機能の特定のロールへのアクセスを提供する必要があります。
ワークフローベースのアプリケーションでは、ユーザーがリソースにアクセスできるようにする前に、ユーザーの状態を確認します。