Vulnerabilidades
Escalada de privilegios
También conocido como: Elevación de privilegios, EoP
Definición
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.
Ejemplos
- Fallo en el kernel de Linux que permite a un usuario normal ejecutar código como root.
- IDOR en una app SaaS que permite a un inquilino leer registros de otro.
Términos relacionados
Escalada vertical de privilegios
Fallo que permite a un usuario de bajo privilegio obtener derechos más altos, normalmente administrador, root o SYSTEM.
Escalada horizontal de privilegios
Fallo que permite a un usuario acceder a recursos o acciones de otro usuario con el mismo nivel de privilegio, sin obtener derechos superiores.
Control de acceso roto
Clase de vulnerabilidades en la que las reglas de autorización faltan o se aplican mal, permitiendo a los usuarios acciones o datos fuera de sus privilegios.
Referencia directa insegura a objetos (IDOR)
Fallo de control de acceso en el que la aplicación expone referencias internas a objetos y permite al usuario cambiarlas para acceder a datos que no le pertenecen.
Principio de mínimo privilegio
Principio de seguridad que otorga a cada usuario, proceso o servicio sólo los privilegios mínimos imprescindibles para cumplir su función.
Exploit
Código, datos o técnica que aprovecha una vulnerabilidad para provocar un comportamiento no previsto, como ejecución de código, escalada de privilegios o fuga de información.