Escalada horizontal de privilégios
O que é Escalada horizontal de privilégios?
Escalada horizontal de privilégiosFalha que permite a um utilizador aceder a recursos ou ações de outro utilizador do mesmo nível de privilégio, sem obter direitos superiores.
Na escalada horizontal, o atacante permanece no mesmo nível de confiança mas quebra o isolamento entre contas ou inquilinos: a conta A lê, modifica ou personifica a conta B. A causa mais comum é controlo de acesso quebrado: APIs que confiam em identificadores fornecidos pelo cliente (IDs de utilizador, números de conta, GUIDs de documentos) sem verificar a propriedade no servidor. IDOR, identificadores previsíveis, ausência de scoping por inquilino e fixação de sessão são raízes típicas. O impacto vai da exposição de dados à fraude financeira, sendo crítico em SaaS multi-inquilino. Mitigações: autorizar cada referência a objeto, restringir consultas ao utilizador/inquilino atual, usar identificadores não adivinháveis e adicionar testes automatizados de acesso cruzado.
● Exemplos
- 01
Alterar userId em /api/users/123/profile para ver o perfil de outro utilizador.
- 02
Bug multi-inquilino num SaaS que permite ao inquilino A consultar pedidos do inquilino B.
● Perguntas frequentes
O que é Escalada horizontal de privilégios?
Falha que permite a um utilizador aceder a recursos ou ações de outro utilizador do mesmo nível de privilégio, sem obter direitos superiores. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Escalada horizontal de privilégios?
Falha que permite a um utilizador aceder a recursos ou ações de outro utilizador do mesmo nível de privilégio, sem obter direitos superiores.
Como se defender contra Escalada horizontal de privilégios?
As defesas contra Escalada horizontal de privilégios costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Escalada horizontal de privilégios?
Nomes alternativos comuns: EoP horizontal, Acesso entre contas.