1 / 14

Falla de Restricción de Acceso a URL

Falla de Restricción de Acceso a URL. Elaborado Por: HUGO MONTOYA VELASQUEZ NATALIA RESTREPO. Falla de Restricción de Acceso a URL.

tuari
Download Presentation

Falla de Restricción de Acceso a URL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Falla de Restricción de Acceso a URL Elaborado Por: HUGO MONTOYA VELASQUEZ NATALIA RESTREPO

  2. Falla de Restricción de Acceso a URL Muchas aplicaciones web verifican los privilegios de acceso a URL antes de generar enlaces o botones protegidos. Sin embargo, las aplicaciones necesitan realizar controles similares cada vez que estas páginas son accedidas, o los atacantes podrán falsificar URL para acceder a estas páginas igualmente.

  3. Características Explotación fácil Prevalencia Poco común Detección media Impacto moderado

  4. Características Explotación fácil: Explotación es fácil porque solo basta con cambiar la URL sin privilegios a una página con privilegios. Prevalencia Poco común: La detección de esta falla porque para el atacante es difícil identificar que URLS tienen esta vulnerabilidad Impacto moderado: El impacto de esta falla es moderado porque permite el acceso no autorizado a funciones administrativas de la aplicación.

  5. Falla de Restricción de Acceso a URL Frecuentemente, una aplicación solo protege funcionalidades delicadas previniendo la visualización de enlaces o URLs a usuarios no autorizados. Los atacantes utilizan esta debilidad para acceder y llevar a cabo operaciones no autorizadas accediendo a esas URLs directamente.

  6. PRUEBA

  7. http://192.168.56.101/cgibin/badstore.cgi?action=supplierportalhttp://192.168.56.101/cgibin/badstore.cgi?action=supplierportal

  8. Página de Administrador http://192.168.56.101/cgibin/badstore.cgi?action=admin

  9. ¿Cuál es el problema de no poder restringir el acceso a URLs? Un problema común en aplicaciones web, para restringir el acceso a URL suele ocurrir cuando una página no tiene la política de control de acceso correcta. Los usuarios no autorizados pueden ver el contenido que no deberían tener la posibilidad de ver. Tener estas vulnerabilidades en la aplicación expone la funcionalidad de privilegio de los usuarios no autorizados. También puede crear un problema con los rastros de su registro. Si los usuarios pueden acceder a los registros sin que se haya autenticado la cadena de custodia, impidiendo que una buena auditoría se llevara a cabo; el no poder restringir el acceso URL también puede conducir a problemas con la administración de sesiones sin pasar, otro de los OWASP Top 10.

  10. ¿Cómo se restringe el acceso URL? Para restringir el acceso URL correctamente se necesita una planificación cuidadosa por el promotor y la organización de apoyo. Las organizaciones pueden seguir algunas reglas simples que les ayuden en la prevención de esta vulnerabilidad. Los desarrolladores no deben asumir que los usuarios no serán conscientes de la funcionalidad oculta. Los administradores deben bloquear el acceso a todo tipo de archivos que la aplicación no sirve. Los arquitectos deben desarrollar una matriz de control de acceso, ayudándoles a evitar que los usuarios no autorizados accedan a contenido autorizado. Esto debe hacerse para cada función de dirección y de negocios de la aplicación.

More Related