Los problemas de controles de acceso rotos (Broken Access Control) ocurren cuando los controles de acceso faltan o no se implementan correctamente
Lo primero es determinar las necesidades de protección de los datos en tránsito y en reposo. Por ejemplo, las contraseñas, los números de tarjetas de crédito, los registros médicos, la información personal y los secretos comerciales requieren protección adicional, principalmente si esos datos se rigen por las leyes de privacidad, por ejemplo, el Reglamento general de protección de datos (GDPR) de la UE, o las regulaciones.
El concepto es idéntico entre todos los intérpretes. La revisión del código fuente es el mejor método para detectar si las aplicaciones son vulnerables a las inyecciones. Se recomienda encarecidamente realizar pruebas automatizadas de todos los parámetros, encabezados, URL, cookies, JSON, SOAP y entradas de datos XML. Las organizaciones pueden incluir herramientas de prueba de seguridad de aplicaciones estáticas (SAST), dinámicas (DAST) e interactivas (IAST) en la canalización de CI / CD para identificar fallas de inyección introducidas antes de la implementación de producción.
El diseño seguro es una categoría amplia que representa diferentes debilidades, expresadas como "diseño de control faltante o ineficaz". El diseño inseguro no es la fuente de todas las otras 10 categorías de riesgo principales. Existe una diferencia entre un diseño inseguro y una implementación insegura.
La aplicación puede ser vulnerable si la aplicación le falta:
Falta el refuerzo de seguridad adecuado en cualquier parte de la pila de aplicaciones o permisos configurados incorrectamente en los servicios en la nube.
Las funciones innecesarias están habilitadas o instaladas (por ejemplo, puertos, servicios, páginas, cuentas o privilegios innecesarios).
Las cuentas predeterminadas y sus contraseñas aún están habilitadas y sin cambios.
El manejo de errores revela a los usuarios rastros de pila u otros mensajes de error demasiado informativos.
Para los sistemas actualizados, las últimas funciones de seguridad están deshabilitadas o no configuradas de forma segura.
La configuración de seguridad en los servidores de aplicaciones, marcos de aplicaciones (por ejemplo, Struts, Spring, ASP.NET), bibliotecas, bases de datos, etc., no se establecen en valores seguros.
El servidor no envía encabezados o directivas de seguridad, o no están configurados para valores seguros.
El software está desactualizado o es vulnerable (consulte A06: 2021-Componentes vulnerables y desactualizados).
Cuando se diseña una aplicación todos los programadores usan algunas bibliotecas o paquetes listos para facilitar su tarea.
Si los componentes que está utilizando para crear sus aplicaciones se vuelven obsoletos o tienen una vulnerabilidad grave, eso lo afectaría a usted y también a sus clientes y usuarios de la aplicación.
La situación también es la misma en el caso de las aplicaciones web: los controles de acceso no se implementan correctamente en muchos casos y es por eso que Broken Access Control está en la primera posición. Incluso los problemas de autenticación están en el n. ° 7. Estas son algunas de las áreas en las que los desarrolladores a menudo se equivocan y, a veces, incluso fallan gravemente.
Se trata de una vulnerabilidad que le permite realizar solicitudes de forma gratuita, a cualquier cosa que el servidor pueda ver.
Esta vulnerabilidad generalmente ocurre en aplicaciones que toman las URL del usuario y luego realizan solicitudes HTTP a la URL proporcionada, sin la validación de URL adecuada (excluyendo las IP internas, por ejemplo).
No existe una vulnerabilidad directa que pueda surgir debido a estos problemas, pero en general, el registro y el monitoreo son bastante críticos y su ausencia o fallas pueden afectar directamente la visibilidad, las alertas de incidentes y el análisis forense. Por lo tanto, es muy importante tener un sistema de registro y monitoreo funcional para recopilar registros y también dar alertas si ocurre algún mal funcionamiento o error, de lo contrario, estos pueden pasar desapercibidos durante mucho tiempo y causar mucho más daño.
El uso de aplicaciones o datos críticos sin verificación de su identidad se incluye en esta categoría.
Los problemas de deserialización involucraron alguna manipulación de los datos para crear una entrada maliciosa para el procesador correctamente.
Este problema puede suceder cuando la identidad de las aplicaciones o los datos no se verifica o el proceso de verificación no está bien redondeado (es decir, se puede omitir o la falla de validación aún permite que la aplicación se ejecute)
