Vulnerabilidades
Controlo de acesso quebrado
Também conhecido como: BAC, Bypass de autorização
Definição
Classe de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios.
Exemplos
- Utilizador comum a chamar /api/admin/users sem verificação de papel obtendo a lista completa.
- Alterar o UUID de um documento no URL para ler a fatura de outro cliente.
Termos relacionados
Referência Direta Insegura a Objetos (IDOR)
Falha de controlo de acesso em que a aplicação expõe referências internas a objetos e permite ao utilizador alterá-las para aceder a dados que não lhe pertencem.
Escalada horizontal de privilégios
Falha que permite a um utilizador aceder a recursos ou ações de outro utilizador do mesmo nível de privilégio, sem obter direitos superiores.
Escalada vertical de privilégios
Falha que permite a um utilizador de baixo privilégio obter direitos mais elevados, normalmente administrador, root ou SYSTEM.
Autenticação quebrada
Categoria de vulnerabilidades em que falhas de autenticação ou gestão de sessão permitem a um atacante personificar utilizadores legítimos ou assumir contas.
OWASP Top 10
OWASP Top 10 — definition coming soon.
Princípio do menor privilégio
Princípio de segurança que concede a cada utilizador, processo ou serviço apenas os privilégios estritamente necessários para desempenhar a sua função.