Insufficient Authentication (Неполное ограничение полномочий)

Атака Неполное ограничение полномочий (Insufficient Authentication) может произойти, когда веб-сайт предоставляет злоумышленнику доступ к закрытым данным или функциональности, без соответствующей авторизации.

Веб-основанные административные средства является хорошим примером веб-сайтов, предоставляющих доступ к закрытой функциональности. В зависимости от специфики он-лайн ресурса, такие веб-приложения не должны быть доступны на прямую без полноценной проверки пользователя на установление его подлинности.

Чтобы обойти и упростить процедуру установления подлинности, некоторые ресурсы защищаются, скрывая специфическое размещение и не проставляя ссылок на эти страницы ни с основного веб-сайта, ни с других общедоступных мест. Однако, такое решение является всего лишь “Безопасностью Через Неизвестность”. Здесь важно понимать, что не смотря на то, что ресурс не известен злоумышленнику, ресурс все равно остается доступным напрямую, через специфический URL. Специфический URL может быть обнаружен при помощи проверок Грубой Силы для общеизвестных файлов и каталогов размещения (например, /admin), из сообщений об ошибках, из ссылающихся логов, или возможно из документации или файлов помощи. Эти ресурсы, являются ли они контентно, или функционально управляемыми, должны быть в достаточной мере защищены.

Пример.
Большинство веб-приложений разрабатываются с административной частью, размещаемой в директории под корневой папкой (/admin/). На эту директорию никогда не устанавливаются ссылки на сайте, однако все равно директория может быть доступна при помощи стандартного веб-браузера. Поскольку пользователь или разработчик ни когда не ожидали, что кто-нибудь просмотрит эту страницу, так как она не прилинкована, добавление проверки подлинности много раз пропускается. Если злоумышленник просто посетит эту старницу, он получит полный административный доступ к веб-сайту.

Оставить комментарий

Можно использовать теги: <a href="" rel="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>