Embed Size (px)
DESCRIPTION
Falla de Restricción de Acceso a URL. Elaborado Por: HUGO MONTOYA VELASQUEZ NATALIA RESTREPO. Falla de Restricción de Acceso a URL. - PowerPoint PPT Presentation
Citation preview
Falla de Restricción de Acceso a URL
Elaborado Por:
HUGO MONTOYA VELASQUEZNATALIA RESTREPO
Falla de Restricción de Acceso a URL
Muchas aplicaciones web verifican los privilegios de acceso a URL antes de generar enlaces o botones protegidos. Sin embargo, las aplicaciones necesitan realizar controles
similares cada vez que estas páginas son accedidas, o los atacantes podrán falsificar
URL para acceder a estas páginas igualmente.
Características
Explotación fácilPrevalencia Poco comúnDetección mediaImpacto moderado
Características
Explotación fácil: Explotación es fácil porque solo basta con cambiar la URL sin privilegios a una página con privilegios.
Prevalencia Poco común:La detección de esta falla porque para el atacante es difícil identificar que URLS tienen esta vulnerabilidad
Impacto moderado:El impacto de esta falla es moderado porque permite el acceso no autorizado a funciones administrativas de la aplicación.
Falla de Restricción de Acceso a URL
Frecuentemente, una aplicación solo protege funcionalidades delicadas previniendo la
visualización de enlaces o URLs a usuarios no autorizados. Los atacantes utilizan esta debilidad para acceder y llevar a cabo
operaciones no autorizadas accediendo a esas URLs directamente.
PRUEBA
http://192.168.56.101/cgibin/badstore.cgi?action=supplierportal
Página de Administrador
http://192.168.56.101/cgibin/badstore.cgi?action=admin
¿Cuál es el problema de no poder restringir el acceso a URLs?
Un problema común en aplicaciones web, para restringir el acceso a URL suele ocurrir cuando una página no tiene la política de control de acceso correcta. Los usuarios no autorizados pueden ver el contenido que no deberían tener la posibilidad de ver. Tener estas vulnerabilidades en la aplicación expone la funcionalidad de privilegio de los usuarios no autorizados. También puede crear un problema con los rastros de su registro. Si los usuarios pueden acceder a los registros sin que se haya autenticado la cadena de custodia, impidiendo que una buena auditoría se llevara a cabo; el no poder restringir el acceso URL también puede conducir a problemas con la administración de sesiones sin pasar, otro de los OWASP Top 10.
¿Cómo se restringe el acceso URL?
Para restringir el acceso URL correctamente se necesita una planificación cuidadosa por el promotor y la organización de apoyo. Las organizaciones pueden seguir algunas reglas simples que les ayuden en la prevención de esta vulnerabilidad.
Los desarrolladores no deben asumir que los usuarios no serán conscientes de la funcionalidad oculta.Los administradores deben bloquear el acceso a todo tipo de archivos que la aplicación no sirve.Los arquitectos deben desarrollar una matriz de control de acceso, ayudándoles a evitar que los usuarios no autorizados accedan a contenido autorizado. Esto debe hacerse para cada función de dirección y de negocios de la aplicación.
