Ataque 17 – Unrestritcted URL Acess

Postado em Atualizado em

9A0DE3BCB1F96665F3B82C6DFF7FDescrição:
Consiste no atacante descobrir que existe na solução URL’s de recursos esquecidos de ser restringindo com a devida autenticação e autorização.

Riscos: Visualizar informações confidenciais e fazer transações indevidas.

Solução:

  1. Efetuar testes sistemáticos de autenticação e autorização em todos os recursos públicos e privados da solução.
  2. Implementar no mecanismo de autenticação e autorização com uma feature que não permita o acesso nas URL’s da solução sem nenhum tipo de declaração, gerando um log de aviso em runtime. Ou seja, todas as URL’s da solução devem ser mapeadas como ou “publica” ou “privada” com sua devida autorização. Caso aconteça de uma URL ser esquecida, esse mecanismo não permite ninguém acessar, gerando um log de aviso.

Para todas as informações, veja o post inicial.

“Dizia a todos: Se alguém quer vir após mim, a si mesmo se negue, dia a dia tome a sua cruz e siga-me.” Lucas 9:23

Anúncios