Нарушенный контроль доступа
Что такое Нарушенный контроль доступа?
Нарушенный контроль доступаКласс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав.
Нарушенный контроль доступа — риск №1 в OWASP Top 10. Возникает, когда приложение не последовательно проверяет, кому что разрешено: нет серверных проверок, доверие скрытым URL (security by obscurity), доверие клиентским ролям, прямые ссылки на объекты без проверки владельца. Варианты: IDOR, форс-браузинг к админ-страницам, обход через подмену параметров, манипуляция scope JWT. Последствия — от утечки данных до полного захвата аккаунтов. Защита: централизованное middleware авторизации, политика «по умолчанию запрет», серверные проверки каждой операции, скоупинг запросов, обширные интеграционные тесты и непрерывный DAST.
● Примеры
- 01
Обычный пользователь обращается к /api/admin/users без проверки роли и получает полный список.
- 02
Изменение UUID документа в URL для чтения счёта другого клиента.
● Частые вопросы
Что такое Нарушенный контроль доступа?
Класс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав. Относится к категории Уязвимости в кибербезопасности.
Что означает Нарушенный контроль доступа?
Класс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав.
Как защититься от Нарушенный контроль доступа?
Защита от Нарушенный контроль доступа обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Нарушенный контроль доступа?
Распространённые альтернативные названия: BAC, Обход авторизации.