Broken Object Level Authorization sérülékenység javítása, megelőzése
Mi az a Broken Object Level Authorization?
Egy rosszindulatú támadó a kérésen belül elküldött objektum (pl. bármilyen szenzitív adat) azonosítójának manipulálásával kihasználhatja azokat az API végpontokat, amelyek nem megfelelően kezelik és limitálják egy adott objektum hozzáférhetőségét.
Broken Object Level Authorization kockázata?
A rosszinulatú támadó olyan adatokhoz fér hozzá az objektumazonosítók módosításával (pl. egy numerikus azonosító növelésével vagy csökkentésével), amikhez jogosultságát tekintve nem szabadna.
Hogyan javítható és előzhető meg a Broken Object Level Authorizationből következő sérülékenység?
Ellenőrizni kell, hogy kérésekben fogadott és a válaszként küldött objektumhivatkozások jogosultságellenőrzése minden szenzitív adatot tartalmaző esetben megfelelően működik.
Hogyan ellenőrizhető a Broken Object Level Authorization sérülékenység jelenléte?
- Sérülékenységvizsgálat szolgáltatás igénylésével
- Manuális sérülékenységvizsgáló szoftverekkel (pl.: Burp Suite, ZAP