Thiếu kiểm soát truy cập mức chức năng
Hầu hết các ứng dụng web xác minh quyền truy cập cấp chức năng trước khi cung cấp chức năng đó cho người dùng. Tuy nhiên, nếu các kiểm tra kiểm soát truy cập tương tự không được thực hiện trên máy chủ, tin tặc có thể xâm nhập vào ứng dụng mà không có sự cho phép thích hợp.
Hãy cho chúng tôi hiểu Tác nhân đe dọa, Vectơ tấn công, Điểm yếu về bảo mật, Tác động kỹ thuật và Tác động kinh doanh của lỗ hổng này với sự trợ giúp của sơ đồ đơn giản.
Thí dụ
Đây là một ví dụ cổ điển về Điều khiển truy cập mức chức năng bị thiếu -
Tin tặc chỉ cần buộc các URL mục tiêu. Thông thường quyền truy cập quản trị yêu cầu xác thực, tuy nhiên, nếu quyền truy cập ứng dụng không được xác minh, thì người dùng chưa được xác thực có thể truy cập trang quản trị.
' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage
' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page
BẬT tay
Step 1 - Hãy để chúng tôi đăng nhập với tư cách là người quản lý tài khoản bằng cách xem qua danh sách người dùng và đặc quyền truy cập của họ.
Step 2 - Sau khi thử các kết hợp khác nhau, chúng tôi có thể phát hiện ra rằng Larry có quyền truy cập vào trình quản lý tài khoản tài nguyên.
Cơ chế phòng ngừa
Theo mặc định, cơ chế xác thực sẽ từ chối tất cả quyền truy cập và cung cấp quyền truy cập vào các vai trò cụ thể cho mọi chức năng.
Trong ứng dụng dựa trên quy trình làm việc, hãy xác minh trạng thái của người dùng trước khi cho phép họ truy cập bất kỳ tài nguyên nào.