¿Cómo llamaría a un ataque donde el usuario autenticado modifica la información de otros usuarios en la aplicación web?

5

Usuario autenticado en la aplicación web, que utiliza la identificación de otras personas para actualizar o cambiar su información. Básicamente, la aplicación web no está verificando la persona que ha iniciado sesión contra la persona que está actualizando la información. ¿Hay un nombre específico para este tipo de ataque?

    
pregunta DoodleKana 10.03.2015 - 22:36
fuente

4 respuestas

4

A mi me suena a IDOR, Referencia de objetos directa insegura , que OWASP define como "Las referencias de objetos directos no seguras se producen cuando una aplicación proporciona acceso directo a objetos según la entrada proporcionada por el usuario. . Como resultado de esta vulnerabilidad, los atacantes pueden omitir la autorización y acceder a los recursos en el sistema directamente, por ejemplo, registros o archivos de bases de datos. Las Referencias Inseguras de Objetos Directos permiten a los atacantes omitir la autorización y acceder a los recursos directamente modificando el valor de un parámetro utilizado para apuntar directamente a un objeto. Dichos recursos pueden ser entradas de la base de datos que pertenecen a otros usuarios, archivos en el sistema y más. Esto se debe al hecho de que la aplicación toma la entrada proporcionada por el usuario y la utiliza para recuperar un objeto sin realizar suficientes controles de autorización ". Creo que IDOR suena muy similar a Broken Access Control , pero creo que este caso es un caso de IDOR .

Más sobre esto en: enlace

    
respondido por el Aatif Shahdad 12.03.2015 - 17:07
fuente
4

... me suena como Control de acceso inadecuado .

De CWE-284 :

  

Resumen de descripción El software no restringe o restringe incorrectamente el acceso a un recurso de un actor no autorizado.

     

Descripción ampliada El control de acceso implica el uso de varios mecanismos de protección, como la autenticación (que demuestra la identidad de   autorización de un actor (que garantiza que un actor determinado pueda acceder a un   recurso), y la responsabilidad (seguimiento de las actividades que fueron   realizado). Cuando algún mecanismo no se aplica o falla de otra manera,   los atacantes pueden comprometer la seguridad del software obteniendo   privilegios, leer información sensible, ejecutar comandos, evadir   detección, etc. Hay dos comportamientos distintos que pueden introducir   debilidades de control de acceso:

     
  • Especificación: los privilegios, permisos, propiedad, etc. incorrectos se especifican explícitamente para el usuario o el recurso (para   Por ejemplo, configurar un archivo de contraseña para que se pueda escribir en todo el mundo, o dar   capacidades de administrador a un usuario invitado). Esta acción podría ser   realizado por el programa o el administrador.

  •   
  • Cumplimiento: el mecanismo contiene errores que le impiden aplicar adecuadamente los requisitos de control de acceso especificados (por ejemplo,   permitiendo al usuario especificar sus propios privilegios, o permitiendo un   ACL sintácticamente incorrecta para producir ajustes inseguros). Esta   problema se produce dentro del propio programa, en el sentido de que en realidad no   hacer cumplir la política de seguridad prevista que especifica el administrador.

  •   

Sin embargo, no mencionas cómo el actor está llevando a cabo su ataque, por lo que solo puedo suponer que están utilizando la manipulación de parámetros GET para hacerse pasar por otro usuario.

En este caso, el ataque real sería "Manipulación de parámetros" o "Manipulación de parámetros".

    
respondido por el k1DBLITZ 11.03.2015 - 00:30
fuente
2

Siempre uso la clasificación Web Application Security Consortium . Puede usarlo para clasificar la amenaza con respecto a dos de sus aspectos:

Ataque (el método utilizado para lograr el resultado) y
Debilidad (la falla que fue explotada por el ataque)

Usando esa clasificación, el ataque debe categorizarse como Abuse of Functionality (como tiene derecho a cambiar su propia información, pero no la de otros, y la debilidad como Validación de proceso insuficiente (como la aplicación debe saber que esa información pertenece a otra persona y que no puedes cambiarla).

    
respondido por el DarkLighting 10.03.2015 - 23:21
fuente
0

Mascarada de identidad.

Sin embargo, creo que el método, no el daño, debe ser nombrado. Por lo tanto, simplemente me referiría a esto como una omisión de autenticación.

    
respondido por el armani 10.03.2015 - 22:43
fuente

Lea otras preguntas en las etiquetas