A01:2021 – Control defectuos al accesului

Broken Access Control

Descriere

Ce reprezintă această vulnerabilitate?

Controlul defectuos al accesului se referă la situațiile în care restricțiile privind acțiunile utilizatorilor autentificați nu sunt aplicate corespunzător. Atacatorii pot exploata aceste defecte pentru a accesa neautorizat funcționalități și/sau date, conturi de utilizatori, fișiere sensibile, pentru a modifica drepturile de acces ale utilizatorilor, etc.

Această vulnerabilitate a urcat pe prima poziție în topul OWASP 2021, fiind prezentă în aproximativ 94% din aplicațiile testate, cu o rată de incidență de peste 3,8%.

Control de Acces Defectuos - Diagram showing how an attacker can intercept and change user IDs

Exemple de Vulnerabilități

1. Manipularea URL-urilor (IDOR - Insecure Direct Object References)

https://example.com/cont/vizualizare?id=123

Un atacator poate modifica parametrul "id" pentru a accesa conturile altor utilizatori.

2. Escaladarea privilegiilor

Un utilizator obișnuit poate accesa funcționalități administrative prin modificarea parametrilor din cereri sau prin navigarea directă la URL-uri administrative.

3. Bypass-ul verificărilor de acces

POST /api/articol/sterge HTTP/1.1
Host: example.com
Cookie: session=abc123
Content-Type: application/json

{"id": 567}

Aplicația nu verifică dacă utilizatorul autentificat are dreptul de a șterge articolul cu ID-ul specificat.

4. Metode HTTP nepermise

Aplicația permite utilizarea metodelor PUT sau DELETE pentru endpoint-uri care ar trebui să permită doar GET sau POST.