Usuario autenticado en la aplicación web, que utiliza la identificación de otras personas para actualizar o cambiar su información. Básicamente, la aplicación web no está verificando la persona que ha iniciado sesión contra la persona que está actualizando la información. ¿Hay un nombre específico para este tipo de ataque?
A mi me suena a IDOR, Referencia de objetos directa insegura , que OWASP define como "Las referencias de objetos directos no seguras se producen cuando una aplicación proporciona acceso directo a objetos según la entrada proporcionada por el usuario. . Como resultado de esta vulnerabilidad, los atacantes pueden omitir la autorización y acceder a los recursos en el sistema directamente, por ejemplo, registros o archivos de bases de datos. Las Referencias Inseguras de Objetos Directos permiten a los atacantes omitir la autorización y acceder a los recursos directamente modificando el valor de un parámetro utilizado para apuntar directamente a un objeto. Dichos recursos pueden ser entradas de la base de datos que pertenecen a otros usuarios, archivos en el sistema y más. Esto se debe al hecho de que la aplicación toma la entrada proporcionada por el usuario y la utiliza para recuperar un objeto sin realizar suficientes controles de autorización ". Creo que IDOR suena muy similar a Broken Access Control , pero creo que este caso es un caso de IDOR .
Más sobre esto en: enlace
... me suena como Control de acceso inadecuado .
De CWE-284 :
Resumen de descripción El software no restringe o restringe incorrectamente el acceso a un recurso de un actor no autorizado.
Descripción ampliada El control de acceso implica el uso de varios mecanismos de protección, como la autenticación (que demuestra la identidad de autorización de un actor (que garantiza que un actor determinado pueda acceder a un recurso), y la responsabilidad (seguimiento de las actividades que fueron realizado). Cuando algún mecanismo no se aplica o falla de otra manera, los atacantes pueden comprometer la seguridad del software obteniendo privilegios, leer información sensible, ejecutar comandos, evadir detección, etc. Hay dos comportamientos distintos que pueden introducir debilidades de control de acceso:
Especificación: los privilegios, permisos, propiedad, etc. incorrectos se especifican explícitamente para el usuario o el recurso (para Por ejemplo, configurar un archivo de contraseña para que se pueda escribir en todo el mundo, o dar capacidades de administrador a un usuario invitado). Esta acción podría ser realizado por el programa o el administrador.
Cumplimiento: el mecanismo contiene errores que le impiden aplicar adecuadamente los requisitos de control de acceso especificados (por ejemplo, permitiendo al usuario especificar sus propios privilegios, o permitiendo un ACL sintácticamente incorrecta para producir ajustes inseguros). Esta problema se produce dentro del propio programa, en el sentido de que en realidad no hacer cumplir la política de seguridad prevista que especifica el administrador.
Sin embargo, no mencionas cómo el actor está llevando a cabo su ataque, por lo que solo puedo suponer que están utilizando la manipulación de parámetros GET para hacerse pasar por otro usuario.
En este caso, el ataque real sería "Manipulación de parámetros" o "Manipulación de parámetros".
Siempre uso la clasificación Web Application Security Consortium . Puede usarlo para clasificar la amenaza con respecto a dos de sus aspectos:
Ataque (el método utilizado para lograr el resultado) y
Debilidad (la falla que fue explotada por el ataque)
Usando esa clasificación, el ataque debe categorizarse como Abuse of Functionality (como tiene derecho a cambiar su propia información, pero no la de otros, y la debilidad como Validación de proceso insuficiente (como la aplicación debe saber que esa información pertenece a otra persona y que no puedes cambiarla).
Lea otras preguntas en las etiquetas web-application attacks