Aplicando la OTG-AUTHZ-002 para evaluar las restricciones del esquema de autorización

La prueba de seguridad OTG-AUTHZ-002 tiene como objetivo comprobar si es posible saltarse las restricciones del esquema de autorización de la aplicación web. Esto ocurre principalmente cuando se mezcla el proceso de autenticación con la autorización y no se establece de una forma clara el acceso a los recursos según los roles o privilegios establecidos en la aplicación. La aplicación exclusivamente de seguridad por oscuridad, también resulta extremandamente contraproducente en estos casos, pues descubierta la ruta del recurso restringido, cualquiera puede acceder a este. Las preguntas que debemos tratar de responder en esta prueba de seguridad son:

  • ¿Es posible acceder a los recursos incluso si el usuario no está autenticado?
  • ¿Es posible acceder a los recursos después que el usuario se haya deslogueado de la aplicación?
  • ¿Es posible acceder a funciones y recursos restringidos para  usuarios con otros roles o privilegios?

Para conducir esta parte de la prueba el especialista de seguridad debe tener de las funcionalidades que cada rol debe disponer y comprobar si se han implementado adecuadamente en el sistema, chequeando con credenciales de usuarios de diferentes roles el acceso o no a dichos recursos. Cuestiones lógicas como el acceso a paneles de administración pueden realizarse sin tener conocimiento del proceso informatizado en la aplicación web, sin embargo, hay otras muchas funcionalidades de procesos que necesariamente deben ser informados para hacer esta prueba de seguridad en un marco de caja blanca.

Como herramienta pudiera utilizarse OWASP ZAP, Burp Suite o cualquier otro sistema con el que se pueda realizar una indexación de toda la aplicación web, suministrándole credenciales de usuarios con diferentes roles para comprobar a que recursos se tiene acceso. También podría hacerse una comprobación manual de todas las rutas pero el tiempo empleado puede ser considerable en aplicaciones, incluso consideradas pequeñas.

Para gestionar mejor esta prueba de seguridad, se puede dividir  en dos fases:

  1. Comprobar el acceso a funcionalidades relacionadas con la administración de la aplicación web. Esto incluye tanto módulos específicos o llamadas a funciones.
  2. Comprobar si los permisos que deben tener los roles y usuarios en la documentación se corresponde con lo que realmente está implementado en la aplicación web.

A muchos puede parecer que esta prueba de seguridad no es tan necesaria porque a estas alturas ¿Quién va a esconder la dirección de su panel de administración como mecanismo principal de protección? A los que piensen así, les recuerdo el comienzo de la famosa frase que pronunció el actor Rutger Hauer en el filme de culto Blade Runner:

Yo he visto cosas que vosotros no creeríais.

Espero que te haya gustado la entrada y te pueda ayudar a fortalecer la seguridad en tu trabajo cotidiano.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anuncios

2 comentarios en “Aplicando la OTG-AUTHZ-002 para evaluar las restricciones del esquema de autorización

  1. Pingback: ¿Que es un ataque de tipo “Parameter Tampering” y como puede evitarse? | Behique Digital

  2. Pingback: ¿Qué es lo nuevo en el OWASP Top 10 2017 R1? | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s