Loader

Общие уязвимости авторизации

Авторизация в системах безопасности предоставляет пользователям разрешения на доступ к соответствующим ресурсам.

Это общий термин, используемый наряду с «привилегиями» и «управлением пользователями\устройствами».

Авторизация в ИТ-инфраструктуре, по сути, становится разрешениями, которые, будучи присвоенными субъекту или пользователю, становятся привилегиями. Эти привилегии, в свою очередь, обеспечивают доступ к определенным ресурсам в инфраструктуре организации, например, к различным уровням информации, таким как операционные системы, уровни инфраструктуры, приложения веб-страниц и т. д, которые позволяют получить соответствующий доступ для выполнения определенных функций. Этот процесс основан на установленных правилах или политиках для конкретных пользователей, таких как чтение, запись или выполнение, обычно устанавливаемых службами безопасности или администраторами.

Управление привилегиями – один из ключевых элементов успешного управления всеми учетными записями пользователей и обеспечения безопасного доступа.

Очень важно, чтобы пользователи имели доступ к необходимой информации для выполнения своих повседневных задач, но при этом поддерживался ограничительный подход, исключающий боковое перемещение или полные привилегии для обычных пользователей.

Это необходимо для поддержания лучших практик безопасности и снижения уровня угроз, будь то украденные учетные данные или внутренние угрозы.

Однако привилегии также являются одним из основных уязвимых мест. В большинстве случаев уязвимости авторизации возникают из-за плохого управления ими.

Одним из примеров уязвимости привилегий является возможность их эскалации. Злоумышленник или пользователь может изменить свои привилегии, чтобы получить доступ к ресурсам, которые изначально не были назначены или настроены для них. Это может быть реализовано в виде горизонтальной или вертикальной эскалации привилегий.
Вертикальная эскалация происходит, когда обычный пользователь может получить доступ к административным правам, а горизонтальная – когда обычный пользователь может получить доступ к ресурсам других пользователей с теми же или аналогичными привилегиями.
Ниже приведены пять распространенных уязвимостей авторизации для получения несанкционированного доступа к защищенным ресурсам, затрагивающие службы API, приложения и веб-серверы.

IDOR или Insecure Direct Object Reference – относится к случаям, когда приложение предоставляет доступ непосредственно к объекту на основе слабого идентификатора пользователя. Это может позволить злоумышленникам обойти процессы авторизации и получить доступ к ресурсам. Вкратце, уязвимость проявляется в изменении значения параметра, используемого для прямой ссылки на объект, без проверки объекта на правильность авторизации.

Authorization Bypass
Может проявляться в виде небезопасной или неправильно настроенной авторизации.
При правильной реализации слабые методы авторизации, такие как определение местоположения, типа устройства или веб-браузера, можно легко обойти с помощью простых инструментов.
Например, использование типа авторизации по местоположению можно легко обойти с помощью простого подключения к VPN.

Небезопасные ресурсы
Распространенные уязвимости в веб-приложениях, когда при скрытии привилегированной или административной страницы, URL может быть найден в журналах веб-трафика предоставляя атакующим доступ или пространство для дальнейшей атаки. Подобная ситуация также может быть использована при обходе каталога, когда недостаточная проверка имен файлов пользователя передается в системный или корневой каталог.

Политики доступа
Правила и политики являются основой доступа пользователей. Их создание и назначение также является сложной задачей, существенно зависящей от количества пользователей, ресурсов и служб, которые необходимо назначить.

Авторизация на стороне клиента
При выполнении в коде клиентской машины пользователя позволяет обойти авторизацию на стороне сервера.
В случае авторизации на стороне клиента и сервера всегда следует использовать проверку на стороне именно сервера. Это связано с тем, что авторизация на стороне клиента, включая параметры URL, веб-маркер JSON, заголовки и HTTP-куки, может быть использована злоумышленниками.

Для наиболее эффективного обнаружения таких распространенных уязвимостей авторизации рекомендуется использовать программное обеспечение для тестирования на проникновение и аудита безопасности, а также быть внимательным в процессе настройки.

Однако организациям следует помнить, что инсайдерские угрозы также являются важными.
Привилегированным пользователям должен быть предоставлен фиксированный доступ к критическим ресурсам.
Следует быть в курсе любого подозрительного поведения и вовремя предотвращать несанкционированные боковые перемещения в сети.

Fudo Security предлагает динамический мониторинг действий привилегированных учетных записей с учетом биометрических данных и интеллектуальным анализом, что помогает отслеживать активность пользователей и выявлять аномалии.

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Fudo и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Грузия, Арменияfast@oberig-it.com, +38 099 427 94 04.
Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.
Узбекистан, Кыргызстан, Таджикистан, Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.
Молдова, Румынияinfo.md@oberig-it.com, +373 686 76535.
Азербайджанinfo.az@oberig-it.com, +994 50 6826105.

Источник: https://bit.ly/3PYMOsD