Broken Accés control #

• Vulneració del control d'accés

• OWASP TOP 1 (2021)

• Control d'accés =

  • revisió dels permisos d'accés
  • Cap usuari pot sortir de l'àmbit d'accés permès

• Es tractaria de vulnerar el control d'accés saltant-se el mecanisme de control de privilegis

Maneres de produirse la vulneració: #

• Eludir el control modificant la petició web ( URL, paràmetres del headers, API)
• Referència directa insegura: permetre veure, editar o accedir al compte d'un altre usuari utilitzant el seu id
• Elevació de privilegis
• Modificació de metadata (tokens, cookies)
• Forçar l'accés a pàgines amb autenticació sense estar-hi o sense les privilegis necessaris

Common Weakness Exposure #

• CWE-200: Exposició d'información sensible a un actor no autorizado
• CWE-201: Exposició d'información confidencial a través de dades enviades
• CWE-352: Cross Site Request Forgery