OWASP Top Ten 2017 - A5 Broken Access Control

owasp-a5

Spesso le restrizioni su cosa un utente autenticato sia abilitato a compiere sono assenti o non propriamente implementate.

Un attaccante potrebbe sfruttare queste debolezze per accedere a funzionalità non autorizzate ed a dati cui non ha diritto di accedere.

Ad esempio potrebbe essere possibile accedere agli account degli altri utenti, visualizzare file confidenziali, modificare i dati di altri utenti o addirittura modificarne i diritti di accesso.

OWASP Top 10 Application Security Risks - 2017 Riferimento
A5:2017-Broken Access Control OWASP


Una volta identificato l’utente è necessario allineare l’applicazione alle Logiche di Business ed al principio del Need To Know.

Ogni singola azione deve considerare:
1. l’utente chiamante; 2. i dati acceduti; 3. il tipo di operazione.
Va tenuto in considerazione non solo il ruolo dell’utente ma anche la paternità o meno dell'utente rispetto al dato ed in seconda istanza il tipo di azione rispetto al dato.

Francesco Ongaro

Richiedi maggiori informazioni a riguardo

Oppure chiamaci al
(+39) 045 4853232


Post Recenti

Visita il blog


Tags Popolari


🎉 Vogliamo parlarti! Fissa un appuntamento!