Loader

Загальні вразливості авторизації

Авторизація в системах безпеки надає користувачам дозволи на доступ до відповідних ресурсів.

Це загальний термін, який використовується поряд з «привілеями» та «управлінням користувачами\пристроями».

Авторизація в ІТ-інфраструктурі, по суті, стає дозволами, які, будучи присвоєними суб’єкту або користувачеві, стають привілеями. Ці привілеї, у свою чергу, забезпечують доступ до певних ресурсів в інфраструктурі організації, наприклад, до різних рівнів інформації, таких як операційні системи, рівні інфраструктури, програми веб-сторінок тощо, які дозволяють отримати відповідний доступ для виконання певних функцій. Цей процес базується на встановлених правилах або політиках для конкретних користувачів, таких як читання, запис або виконання, які зазвичай встановлюють служби безпеки або адміністратори.

Управління привілеями – один із ключових елементів успішного управління всіма обліковими записами користувачів та забезпечення безпечного доступу.

Дуже важливо, щоб користувачі мали доступ до необхідної інформації для виконання повсякденних завдань, але при цьому підтримувався обмежувальний підхід, що виключає бічне переміщення або повні привілеї для звичайних користувачів.

Це необхідно для підтримки кращих практик безпеки та зниження рівня загроз, чи то вкрадені облікові дані чи внутрішні загрози.

Однак привілеї також є одним із основних вразливих місць. Найчастіше вразливості авторизації виникають через погане управління ними.

Одним із прикладів вразливості привілеїв є можливість їхньої ескалації. Зловмисник або користувач може змінити свої привілеї, щоб отримати доступ до ресурсів, які не були призначені або налаштовані для них. Це може бути реалізовано у вигляді горизонтальної або вертикальної ескалації привілеїв.

Вертикальна ескалація відбувається, коли звичайний користувач може отримати доступ до адміністративних прав, а горизонтальна – коли звичайний користувач може отримати доступ до ресурсів інших користувачів з тими самими чи аналогічними привілеями.

Нижче наведено п’ять найпоширеніших вразливостей авторизації для отримання несанкціонованого доступу до захищених ресурсів, що стосуються служб API, програм та веб-серверів.

IDOR або Insecure Direct Object Reference– відноситься до випадків, коли програма надає доступ безпосередньо до об’єкта на основі слабкого ідентифікатора користувача. Це може дозволити зловмисникам обійти процеси авторизації та отримати доступ до ресурсів. Якщо коротко, вразливість проявляється у зміні значення параметра, що використовується для прямого посилання на об’єкт, без перевірки об’єкта на правильність авторизації.

Authorization Bypass
Може бути у вигляді небезпечної чи неправильно налаштованої авторизації.

У разі правильної реалізації слабкі методи авторизації, такі як визначення розташування, типу пристрою або веб-браузера, можна легко обійти за допомогою простих інструментів.

Наприклад, використання типу авторизації за місцем розташування можна легко обійти за допомогою простого підключення до VPN.

Небезпечні ресурси
Поширені вразливості у веб-застосунках, коли при приховуванні привілейованої або адміністративної сторінки, URL може бути знайдений в журналах веб-трафіку надаючи атакуючим доступ або простір для подальшої атаки. Така ситуація також може бути використана при обході каталогу, коли недостатня перевірка імен файлів користувача передається до системного або кореневого каталогу.

Політики доступу
Правила та політики є основою доступу користувачів. Їх створення та призначення також є складним завданням, що істотно залежить від кількості користувачів, ресурсів та служб, які необхідно призначити.

Авторизація на стороні клієнта
Під час виконання в коді клієнтської машини користувача дозволяє обійти авторизацію на стороні сервера.

У разі авторизації на стороні клієнта та сервера завжди слід використовувати перевірку на стороні сервера. Це пов’язано з тим, що авторизація на стороні клієнта, включаючи параметри URL, веб-маркер JSON, заголовки та HTTP-куки, може бути використана зловмисниками.

Для найефективнішого виявлення таких поширених вразливостей авторизації рекомендується використовувати програмне забезпечення для тестування на проникнення та аудит безпеки, а також бути уважним у процесі налаштування.

Проте організаціям слід пам’ятати, що інсайдерські загрози також є важливими.

Привілейованим користувачам має бути надано фіксований доступ до критичних ресурсів.

Слід бути в курсі будь-якої підозрілої поведінки та вчасно запобігати несанкціонованим боковим переміщенням в мережі.

Fudo Security пропонує динамічний моніторинг дій привілейованих облікових записів з урахуванням біометричних даних та інтелектуальним аналізом, що допомагає відстежувати активність користувачів та виявляти аномалії.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Fudo і організації партнерських тренінгів звертайтеся, будь ласка: fast@oberig-it.com, +38 099 427 94 04.

Джерело: https://bit.ly/3PYMOsD