Insufficient Authorization

Lexikon webových zranitelností

zpět
Název: Insufficient Authorization
Zařazení: Autorizace
Závažnost: Nízká - Kritická

Popis:

Webová aplikace musí při přistupu k datům, které mají být dostupné pouze oprávněným osobám (účtům), správně provádět ověření, zda jsou splněny všechny podmínky pro povolení přístupu. Pokud není autorizace provedena úplně a bezchybně, může se útočník dostat k důvěrným datům ostatních uživatelů, nebo může provést činnosti, k nimž není oprávněn.

Velice často je tato zranitelnost spojena s předáváním ID konkrétního záznamu. Jeho změnou se útočník může snadno dostat k cizím záznamům.

http://www.hackmail.cz/inc/message.php?slozka=in&idmessage=439

Další z častých zranitelných míst je spojeno s predikcí názvů method, nebo skriptů. V následujícím příkladě by uživatel mohl zkusit zaměnit část viewUserProfle v URL za editUserProfile, nebo deleteUserProfile.

http://www.example.com/viewUserProfile/145

Informace: