Уязвимости
Вертикальное повышение привилегий
Также известно как: Вертикальная EoP
Определение
Уязвимость, позволяющая пользователю с низкими правами получить более высокие — обычно администратора, root или SYSTEM.
Примеры
- Ошибка в драйвере Windows, позволяющая обычному пользователю выполнить код как SYSTEM.
- API /admin, не проверяющий роль вызывающего, что позволяет обычному пользователю создавать администраторов.
Связанные термины
Повышение привилегий
Класс уязвимостей, позволяющий злоумышленнику получить права выше предоставленных изначально, например перейти от обычного пользователя к администратору.
Горизонтальное повышение привилегий
Уязвимость, позволяющая пользователю получить доступ к ресурсам или операциям другого пользователя того же уровня привилегий, не повышая свои права.
Нарушенный контроль доступа
Класс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав.
Принцип наименьших привилегий
Принцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.
Эксплойт
Код, данные или метод, использующий уязвимость для вызова непредусмотренного поведения — выполнения кода, повышения привилегий или раскрытия информации.