Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 134 vistas

    Broken Access Control

    Cargado por

    oliver mauricio oliva suarez
    Este documento describe la vulnerabilidad de Broken Access Control, que ocurre cuando un usuario puede acceder a recursos fuera de sus permisos. Explica que es un problema común en sitios web y cubre riesgos, ejemplos de cómo ocurre en funciones administrativas, y consejos para prevenirlo como comprobar implementaciones de control de acceso y denegar acceso de forma predeterminada. También incluye descripciones de laboratorios prácticos sobre cómo atacar esta vulnerabilidad y cómo defenderse mediante la validación y autenticación de usuarios.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd

    Broken Access Control

    Cargado por

    oliver mauricio oliva suarez
    134 vistas23 páginas
    Este documento describe la vulnerabilidad de Broken Access Control, que ocurre cuando un usuario puede acceder a recursos fuera de sus permisos. Explica que es un problema común en sitios web y cubre riesgos, ejemplos de cómo ocurre en funciones administrativas, y consejos para prevenirlo como comprobar implementaciones de control de acceso y denegar acceso de forma predeterminada. También incluye descripciones de laboratorios prácticos sobre cómo atacar esta vulnerabilidad y cómo defenderse mediante la validación y autenticación de usuarios.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe la vulnerabilidad de Broken Access Control, que ocurre cuando un usuario puede acceder a recursos fuera de sus permisos. Explica que es un problema común en sitios web y cubre riesgos, ejemplos de cómo ocurre en funciones administrativas, y consejos para prevenirlo como comprobar implementaciones de control de acceso y denegar acceso de forma predeterminada. También incluye descripciones de laboratorios prácticos sobre cómo atacar esta vulnerabilidad y cómo defenderse mediante la validación y autenticación de usuarios.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    134 vistas23 páginas

    Broken Access Control

    Cargado por

    oliver mauricio oliva suarez
    Este documento describe la vulnerabilidad de Broken Access Control, que ocurre cuando un usuario puede acceder a recursos fuera de sus permisos. Explica que es un problema común en sitios web y cubre riesgos, ejemplos de cómo ocurre en funciones administrativas, y consejos para prevenirlo como comprobar implementaciones de control de acceso y denegar acceso de forma predeterminada. También incluye descripciones de laboratorios prácticos sobre cómo atacar esta vulnerabilidad y cómo defenderse mediante la validación y autenticación de usuarios.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    de 23

    BROKEN ACCESS CONTROL

    MATERIA
    SEGURIDAD INFORMÁTICA 1
    INTEGRANTES:
    OLIVER MAURICIO OLIVA SUAREZ
    EMILY MONTAÑO FARELL
    SAUL RAMIREZ CAYOJA
    DOCENTE:
    RENAN LUIS LAYME YUCRE
    QUÉ ES ACCESS CONTROL?

    • Es un mecanismo en el que se especifica qué información,


    funciones o sistemas serán accesibles para un usuario, grupo o rol
    en particular. Es decir, es una manera de controlar quién puede
    acceder a ciertos recursos, generalmente, mediante el uso de
    políticas para especificar los privilegios de acceso.
    ¿QUÉ ES UN BROKEN ACCESS CONTROL?

    • La vulnerabilidad Broken Access Control ocurre cuando una falla o


    una ausencia de mecanismos de control de acceso le permite a un
    usuario acceder a un recurso que está fuera de sus permisos
    previstos.
    • Esta vulnerabilidad es una de las más comunes en sitios web y
    ocupa el puesto N°5 en el OWASP TOP 10 (Open Web Application
    Security Project). 
    RIESGOS DEL BROKEN ACCESS CONTROL

    • Los riesgos de esta vulnerabilidad dependen de la interacción que


    el atacante consiga tener con el servidor de una empresa. 
    BROKEN ACCESS CONTROL EN FUNCIONES ADMINISTRATIVAS

    Un sitio web permite a los administradores listar los correos electrónicos de sus
    usuarios desde una URL similar a la siguiente.
    https://sitio-inseguro.com/admin/listar_mails
    • Aquí podría haber dos posibles escenarios de Broken Access Control:
    • En el caso de que un usuario no autenticado pueda acceder y obtener la lista de e-
    mails.
    • En el caso de que un usuario autenticado que no es administrador logre acceder y
    obtener la lista de mails.
    TIPS PARA PREVENIRLA

    • - Comprobar la implementación de un correcto control de acceso,


    estableciendo roles y permisos para acceder a los recursos.
    • - Verificar que el acceso a los recursos mediante ID posea un paso
    de verificación adicional que asegure el ingreso de usuarios
    autorizados
    • - Denegar el acceso a sus recursos de forma predeterminada, a
    menos que desee que sean públicos.
    PAGINA DE PRUEBA PARA PANEL DE ADMINISTRACIÓN DESPROTEGIDO
    ADMINISTRATOR-PANEL
    MÉTODOS PARA EVITAR BROKEN ACCESS CONTROL
    FUNCIÓN CREAR CUENTA
    VALIDACIÓN CUENTA
    ACTIVACIÓN CUENTA ZARA
    VALIDACIÓN CÓDIGO CUENTA
    MÉTODO PARA ENCRIPTAR
    Devuelve un string que contiene el mensaje cifrado como
    dígitos hexadecimales en minúsculas, mayúsculas.
    VALIDACIÓN LOGIN
    VALIDACIÓN DE INICIO DE SESIÓN
    INICIAR SESIÓN
    USUARIO ADMINISTRADOR
    USUARIO ADMINISTRADOR
    USUARIO
    CORPORATIVO
    CERRAR SESIÓN
    CONCLUSIÓN

    • La vulnerabilidad Broken Access Control suele aparecer cuando existen errores en la


    implementación de controles de acceso y en nuestros 2 laboratorios realizados
    demostramos como atacar 1 mediante la URL y el otro en cómo defendernos controlando
    los endpoints en este caso lo hicimos a través de validación y autenticación.

    También podría gustarte