Controlo de acesso quebrado
O que é Controlo de acesso quebrado?
Controlo de acesso quebradoClasse de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios.
O controlo de acesso quebrado é o risco nº 1 do OWASP Top 10. Surge quando uma aplicação não aplica de forma consistente quem pode fazer o quê: ausência de verificações no servidor, dependência de URLs ocultos (segurança pela obscuridade), confiança em papéis enviados pelo cliente ou referências diretas a objetos sem verificação de propriedade. Variantes: IDOR, navegação forçada para páginas admin, contornos por manipulação de parâmetros e alteração de scopes em JWT. O impacto vai da fuga de informação à tomada total. Defesas: middleware central de autorização, negação por defeito, aplicação no servidor para cada ação, consultas com scope, testes de integração robustos e DAST contínuo.
● Exemplos
- 01
Utilizador comum a chamar /api/admin/users sem verificação de papel obtendo a lista completa.
- 02
Alterar o UUID de um documento no URL para ler a fatura de outro cliente.
● Perguntas frequentes
O que é Controlo de acesso quebrado?
Classe de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Controlo de acesso quebrado?
Classe de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios.
Como se defender contra Controlo de acesso quebrado?
As defesas contra Controlo de acesso quebrado costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Controlo de acesso quebrado?
Nomes alternativos comuns: BAC, Bypass de autorização.