Falla de Restricción de Acceso a URL

Download Report

Transcript Falla de Restricción de Acceso a URL

Falla de Restricción de
Acceso a URL
Elaborado Por:
HUGO MONTOYA VELASQUEZ
NATALIA RESTREPO
Falla de Restricción de
Acceso a URL
Muchas aplicaciones web verifican los privilegios de
acceso a URL antes de generar enlaces o botones
protegidos. Sin embargo, las aplicaciones necesitan
realizar controles similares cada vez que estas páginas
son accedidas, o los atacantes podrán falsificar URL
para acceder a estas páginas igualmente.
Características
Explotación fácil
Prevalencia Poco común
Detección media
Impacto moderado

Características

Explotación fácil:
Explotación es fácil porque solo basta con cambiar la URL sin privilegios a
una página con privilegios.

Prevalencia Poco común:
La detección de esta falla porque para el atacante es difícil identificar que
URLS tienen esta vulnerabilidad

Impacto moderado:
El impacto de esta falla es moderado porque permite el acceso no
autorizado a funciones administrativas de la aplicación.
Falla de Restricción de
Acceso a URL
Frecuentemente, una aplicación solo protege
funcionalidades delicadas previniendo la visualización
de enlaces o URLs a usuarios no autorizados. Los
atacantes utilizan esta debilidad para acceder y llevar
a cabo operaciones no autorizadas accediendo a esas
URLs directamente.
http://192.168.56.101/cgibin/bads
tore.cgi?action=supplierportal
Página de Administrador
http://192.168.56.101/cgibin/badstore.cgi?action
=admin
¿Cuál es el problema de no poder
restringir el acceso a URLs?
Un problema común en aplicaciones web, para restringir el acceso a
URL suele ocurrir cuando una página no tiene la política de control de
acceso correcta. Los usuarios no autorizados pueden ver el contenido
que no deberían tener la posibilidad de ver. Tener estas
vulnerabilidades en la aplicación expone la funcionalidad de privilegio
de los usuarios no autorizados. También puede crear un problema con
los rastros de su registro. Si los usuarios pueden acceder a los registros
sin que se haya autenticado la cadena de custodia, impidiendo que una
buena auditoría se llevara a cabo; el no poder restringir el acceso URL
también puede conducir a problemas con la administración de sesiones
sin pasar, otro de los OWASP Top 10.
¿Cómo se restringe el acceso
URL?
Para restringir el acceso URL correctamente se necesita una
planificación cuidadosa por el promotor y la organización de apoyo.
Las organizaciones pueden seguir algunas reglas simples que les
ayuden en la prevención de esta vulnerabilidad.
Los desarrolladores no deben asumir que los usuarios no serán
conscientes de la funcionalidad oculta.
Los administradores deben bloquear el acceso a todo tipo de
archivos que la aplicación no sirve.
Los arquitectos deben desarrollar una matriz de control de acceso,
ayudándoles a evitar que los usuarios no autorizados accedan a
contenido autorizado. Esto debe hacerse para cada función de
dirección y de negocios de la aplicación.
