Utente autenticato sull'app Web, utilizzando l'id di altre persone per aggiornare o modificare le informazioni. Quindi, in pratica, l'app Web non controlla la persona che ha effettuato l'accesso contro la persona che sta aggiornando le informazioni. C'è un nome specifico per questo tipo di attacco?
A me sembra IDOR, Insecure Direct Object Reference , che OWASP definisce come, "I riferimenti agli oggetti diretti insicuri si verificano quando un'applicazione fornisce accesso diretto agli oggetti in base all'input fornito dall'utente . A seguito di questa vulnerabilità, gli aggressori possono ignorare l'autorizzazione e accedere direttamente alle risorse nel sistema, ad esempio record di database o file. I riferimenti agli oggetti diretti non sicuri consentono agli autori di attacchi di ignorare l'autorizzazione e accedere direttamente alle risorse modificando il valore di un parametro utilizzato per puntare direttamente a un oggetto. Tali risorse possono essere voci di database appartenenti ad altri utenti, file nel sistema e altro. Ciò è causato dal fatto che l'applicazione utilizza l'input fornito dall'utente e la utilizza per recuperare un oggetto senza eseguire controlli di autorizzazione sufficienti ". Penso che IDOR suoni molto simile a Broken Access Control , ma penso che questo caso sia un caso di IDOR .
Maggiori informazioni su questo argomento: link
... mi sembra Controllo di accesso improprio .
Da CWE-284 :
Description Summary The software does not restrict or incorrectly restricts access to a resource from an unauthorized actor.
Extended Description Access control involves the use of several protection mechanisms such as authentication (proving the identity of an actor) authorization (ensuring that a given actor can access a resource), and accountability (tracking of activities that were performed). When any mechanism is not applied or otherwise fails, attackers can compromise the security of the software by gaining privileges, reading sensitive information, executing commands, evading detection, etc. There are two distinct behaviors that can introduce access control weaknesses:
Specification: incorrect privileges, permissions, ownership, etc. are explicitly specified for either the user or the resource (for example, setting a password file to be world-writable, or giving administrator capabilities to a guest user). This action could be performed by the program or the administrator.
Enforcement: the mechanism contains errors that prevent it from properly enforcing the specified access control requirements (e.g., allowing the user to specify their own privileges, or allowing a syntactically-incorrect ACL to produce insecure settings). This problem occurs within the program itself, in that it does not actually enforce the intended security policy that the administrator specifies.
Tuttavia, non menzioni come l'attore sta portando avanti il loro attacco - quindi posso solo immaginare che stanno usando la manipolazione dei parametri GET per impersonare un altro utente.
In questo caso l'attacco effettivo sarebbe "Parameter Manipulation" o "Parameter Tampering".
Io uso sempre la classificazione Consorzio per la sicurezza delle applicazioni Web . Puoi usarlo per classificare la minaccia riguardo a due dei suoi aspetti:
Attack (il metodo utilizzato per ottenere il risultato) e
Debolezza (la falla che è stata sfruttata dall'attacco)
Utilizzando questa classificazione, l'attacco deve essere classificato come Abuso di funzionalità (come hai il diritto di modificare le tue informazioni, ma non di altre) e il punto debole come Validazione dei processi insufficiente (come l'applicazione dovrebbe sapere che quell'informazione appartiene a qualcun altro e che non ti è permesso cambiarla).
Identity Masquerade.
Tuttavia, ritengo che il metodo, non il danno, debba essere nominato. Pertanto, vorrei semplicemente fare riferimento a questo come un bypass di autenticazione.
Leggi altre domande sui tag web-application attacks