pruebas de seguridad web - problema de vulnerabilidad

3

Estoy probando un sitio web para descubrir vulnerabilidades. El sitio web se ejecuta completamente solo en HTTPS.

Durante las pruebas, llegué a saber que solo los usuarios autorizados pueden descargar los archivos pdf. Se puede acceder a esta funcionalidad después de iniciar sesión en la aplicación.

Supongamos que este es el camino:

https://www.test-site.com/confarea/private/ebook.pdf

Pero cuando estoy cambiando la solicitud https a http como a continuación, puedo descargar el archivo directamente sin ninguna restricción.

http://www.test-site.com/confarea/private/ebook.pdf

Entonces, de acuerdo con Top 10 de OWASP - 2013 :

  • ¿Qué tipo de vulnerabilidad es esta? ¿Pertenece a "A4 - Referencias a objetos directos inseguros" o "A7 - Falta el control de acceso a nivel de función"?
  • ¿Esta vulnerabilidad tiene algún nombre en particular?
  • ¿Cuál sería la gravedad y el impacto?

Por favor, explícalo en profundidad.

    
pregunta magneto 11.05.2015 - 14:10
fuente

2 respuestas

1

El servidor web parece aplicar un control de seguridad diferente si el acceso proviene de HTTPS y de HTTP.

Lo más probable es que los diseñadores pensaron que este archivo sería accesible solo para los usuarios de HTTPS, y se perdió el hecho de que esta URL también se puede servir a través de HTTP.

En tu pregunta te refieres a:

  • A7 - Falta el control de acceso a nivel de función : esta falla se trata de una discrepancia entre las opciones propuestas en la interfaz web y las opciones realmente aceptadas en el lado del servidor web, el error es deshabilitar una opción solo en el Interfaz sin deshabilitar su uso en el lado del servidor. Aquí no se menciona la interfaz web, y el usuario autorizado debe usar el enlace HTTPS de todos modos, por lo que este no es el tema correcto para clasificar el problema actual.
  • A4 - Referencias inseguras de objetos directos : esta falla parece tratar simplemente el acceso a objetos internos, es decir. Objetos a los que no se debe acceder en absoluto. Sin embargo, se puede argumentar que, de hecho, no se debe acceder a este archivo a través de HTTP, por lo que desde este punto de vista podría ser un tema correcto.

De lo contrario, " A5 - Error de configuración de seguridad " también puede coincidir, ya que esto es solo un problema de configuración, ya sea una configuración de acceso a archivos HTTPS que afecta incorrectamente a los accesos HTTP, o una restricción que falta en los accesos a archivos HTTP. / p>

En cuanto al impacto técnico, da acceso a este archivo a personas no autorizadas. El impacto en el negocio depende directamente del contenido del archivo.

    
respondido por el WhiteWinterWolf 11.05.2015 - 14:34
fuente
1

No ha mencionado si ha intentado la solicitud con cookies (u otros datos de autenticación) retenidos.

Si la solicitud aún funciona sin autenticación para el mismo esquema y ha eliminado los encabezados de almacenamiento en caché como If-Modified-Since y If-None-Match , entonces es "A4 - Referencias de objetos directos inseguros". Si la solicitud funciona solo cuando no ha modificado la solicitud para deshabilitar las respuestas almacenadas en caché, entonces esto es "A5-Security Misconfiguration" porque la aplicación está almacenando en caché contenido privado.

Si la solicitud funciona con cookies tanto en HTTP como en HTTPS, entonces esto también es "A5-Security Misconfiguration". Esto se debe a que la aplicación debe establecer la Secure Flag en las cookies o idealmente implementar HSTS para evitar que las cookies de autenticación se envíen a través de una conexión insegura.

    
respondido por el SilverlightFox 12.05.2015 - 10:42
fuente

Lea otras preguntas en las etiquetas