Vulnerabilidades
Escalada de privilégios
Também conhecido como: Elevação de privilégios, EoP
Definição
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.
Exemplos
- Bug no kernel do Linux que permite a um utilizador comum executar código como root.
- IDOR numa aplicação SaaS que permite a um inquilino ler registos de outro.
Termos relacionados
Escalada vertical de privilégios
Falha que permite a um utilizador de baixo privilégio obter direitos mais elevados, normalmente administrador, root ou SYSTEM.
Escalada horizontal de privilégios
Falha que permite a um utilizador aceder a recursos ou ações de outro utilizador do mesmo nível de privilégio, sem obter direitos superiores.
Controlo de acesso quebrado
Classe de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios.
Referência Direta Insegura a Objetos (IDOR)
Falha de controlo de acesso em que a aplicação expõe referências internas a objetos e permite ao utilizador alterá-las para aceder a dados que não lhe pertencem.
Princípio do menor privilégio
Princípio de segurança que concede a cada utilizador, processo ou serviço apenas os privilégios estritamente necessários para desempenhar a sua função.
Exploit
Pedaço de código, dados ou técnica que tira partido de uma vulnerabilidade para causar comportamento indesejado, como execução de código, escalada de privilégios ou divulgação de informação.