Vulnerabilidades
Control de acceso roto
También conocido como: BAC, Bypass de autorización
Definición
Clase de vulnerabilidades en la que las reglas de autorización faltan o se aplican mal, permitiendo a los usuarios acciones o datos fuera de sus privilegios.
Ejemplos
- Un usuario normal llama a /api/admin/users sin comprobaciones de rol y obtiene la lista completa.
- Cambiar el UUID de un documento en la URL para leer la factura de otro cliente.
Términos relacionados
Referencia directa insegura a objetos (IDOR)
Fallo de control de acceso en el que la aplicación expone referencias internas a objetos y permite al usuario cambiarlas para acceder a datos que no le pertenecen.
Escalada horizontal de privilegios
Fallo que permite a un usuario acceder a recursos o acciones de otro usuario con el mismo nivel de privilegio, sin obtener derechos superiores.
Escalada vertical de privilegios
Fallo que permite a un usuario de bajo privilegio obtener derechos más altos, normalmente administrador, root o SYSTEM.
Autenticación rota
Categoría de vulnerabilidades en la que fallos de autenticación o gestión de sesión permiten al atacante suplantar a usuarios legítimos o tomar cuentas.
OWASP Top 10
OWASP Top 10 — definition coming soon.
Principio de mínimo privilegio
Principio de seguridad que otorga a cada usuario, proceso o servicio sólo los privilegios mínimos imprescindibles para cumplir su función.