Hozzáférés-szabályozási hiba kihasználása

Az OWASP Top Ten szerint jelenleg a hibás hozzáférés szabályozás jelenti a legmagasabb biztonsági kockázatot.

Az OWASP weboldalán: A01:2021 Broken Access Control

A hozzáférés vezérlés, olyan szabályok, korlátozások összessége, melyek meghatározzák, hogy ki milyen műveleteket hajthat végre, mihez van joga, milyen funkciókhoz és erőforrásokhoz férhet hozzá. Lényegében egy engedélyezési séma, amely leírja a különböző szerepköröket és a hozzájuk rendelt jogosultságokat.

Alapvetően így használhatja ki a támadó a hozzáférés-vezérlésben megjelenő biztonsági réseket:

1. Vertikális privilégium eszkaláció (jogosultság kiterjesztés)

Alacsonyabb jogosultságokkal rendelkező felhasználóként hozzáfér ugyanazokhoz az adatokhoz, funkciókhoz, műveletekhez, amihez egy magasabb jogosultságú felhasználó. Ez az úgynevezett függőleges eszkaláció, mikor a támadó olyan erőforrásokhoz, funkciókhoz szerez hozzáférést a rendszerben, melyek egyébként csak magasabb szerepkörű felhasználók privilégiumai lennének.

A hacker, mint rendszergazda: teljes jogosultsággal lényegében rendszergazdaként, bármit megtehet a támadó, amit csak akar. Törölhet, letölthet, szerkeszthet, módosíthat, stb.

2. Horizontális privilégium eszkaláció (jogosultság kiterjesztés)

Azonos szinten lévő felhasználóként hozzáfér egy másik felhasználóhoz tartozó adatokhoz, erőforrásokhoz, mintha az a fiók a sajátja lenne. Például egy bank webalkalmazásában a felhasználók az „ügyfél” szerepkör jogosultságaival rendelkeznek, így saját felületén mindenki ugyanazokhoz a funkciókhoz férhet hozzá, de nem léphet át más ügyfelek fiókjába.

Törhető hozzáférés szabályozás esetén viszont a támadó kihasználhatja a sérülékenységet és átveheti az irányítást a többi felhasználó fiókjában.

Szintén horizontális eszkaláció, amikor a támadó a saját felhasználói fiókján keresztül hozzáfér „a mellette lévő” felhasználók dokumentumaihoz, adataihoz.