Уязвимости
Повышение привилегий
Также известно как: Эскалация привилегий, EoP
Определение
Класс уязвимостей, позволяющий злоумышленнику получить права выше предоставленных изначально, например перейти от обычного пользователя к администратору.
Примеры
- Ошибка в ядре Linux, позволяющая обычному пользователю выполнить код от имени root.
- IDOR в SaaS-приложении, дающий одному арендатору доступ к данным другого.
Связанные термины
Вертикальное повышение привилегий
Уязвимость, позволяющая пользователю с низкими правами получить более высокие — обычно администратора, root или SYSTEM.
Горизонтальное повышение привилегий
Уязвимость, позволяющая пользователю получить доступ к ресурсам или операциям другого пользователя того же уровня привилегий, не повышая свои права.
Нарушенный контроль доступа
Класс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав.
Небезопасная прямая ссылка на объект (IDOR)
Дефект контроля доступа: приложение раскрывает ссылки на внутренние объекты и позволяет пользователю изменять их для доступа к чужим данным.
Принцип наименьших привилегий
Принцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.
Эксплойт
Код, данные или метод, использующий уязвимость для вызова непредусмотренного поведения — выполнения кода, повышения привилегий или раскрытия информации.