Уязвимости
Нарушенный контроль доступа
Также известно как: BAC, Обход авторизации
Определение
Класс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав.
Примеры
- Обычный пользователь обращается к /api/admin/users без проверки роли и получает полный список.
- Изменение UUID документа в URL для чтения счёта другого клиента.
Связанные термины
Небезопасная прямая ссылка на объект (IDOR)
Дефект контроля доступа: приложение раскрывает ссылки на внутренние объекты и позволяет пользователю изменять их для доступа к чужим данным.
Горизонтальное повышение привилегий
Уязвимость, позволяющая пользователю получить доступ к ресурсам или операциям другого пользователя того же уровня привилегий, не повышая свои права.
Вертикальное повышение привилегий
Уязвимость, позволяющая пользователю с низкими правами получить более высокие — обычно администратора, root или SYSTEM.
Нарушенная аутентификация
Категория уязвимостей, при которой дефекты аутентификации или управления сессиями позволяют атакующему выдавать себя за легитимных пользователей или захватывать аккаунты.
OWASP Top 10
OWASP Top 10 — definition coming soon.
Принцип наименьших привилегий
Принцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.