Ataque 18 – Forceful Browsing

Postado em

przestepca-klawiatura-komputer-hacker-pion-400Descrição:
Consiste no atacante descobrir que existe na solução URL’s para determinadas recursos não utilizadas pela solução, sem as devidas configurações de autenticação e autorização.

Riscos: Visualizar informações confidenciais e fazer transações indevidas.

Solução:

  1. Recursos em desuso ou descontinuados devem estar sobre todas as regras de autenticação e autorização. 2-Deleção destes recursos da solução.
  2. 3-Implementar no mecanismo de autenticação e autorização de recursos que automaticamente não permita o acesso nas URL’s da solução sem nenhum tipo de declaração(esquecidas), gerando um log de aviso em runtime. Ou seja, todas as URL’s da solução devem ser mapeadas como “publica” ou “privada” com sua devida autorização. Caso aconteça de uma URL ser esquecida, esse mecanismo não permite ninguém acessar, gerando um log de aviso.

Para todas as informações, veja o post inicial.

“Tu és o meu esconderijo; tu me preservas da tribulação e me cercas de alegres cantos de livramento.” Salmos 32:7

Anúncios