Mitigación de la escalada de privilegios [cerrado]

0

¿Cuál es la mejor protección contra la vulnerabilidad de Privilege Escalation en una aplicación web? Básicamente, puedo cambiar la respuesta HTTP en formato JSON de ID DE USUARIO a ID ADMIN para obtener acceso al sistema de cuenta de administrador.

    
pregunta Michal Koczwara 19.01.2016 - 13:43
fuente

1 respuesta

2

En el tipo de seguridad, generalmente se habla de 3 puntos:

  1. identificación
  2. autentificación
  3. autorización

Le falta el punto 2 / "nunca confíe en el cliente": identifica al cliente por el ID y le otorga los derechos según el ID enviado por el cliente. Como viste esto falla porque el cliente puede mentir. Las soluciones más comunes para la autenticación en sitios web son:

  • Enviar un token de autenticación como una contraseña con la solicitud Y VERIFICAR SERVERSIDE
  • Uso de sesiones (como cookies) Y CONTROL DE SERVIDOR
respondido por el H. Idden 19.01.2016 - 14:04
fuente

Lea otras preguntas en las etiquetas