test di sicurezza Web: problema di vulnerabilità

3

Sto testando un sito Web per scoprire le vulnerabilità. Il sito web è completamente funzionante solo su HTTPS.

Durante i test, sono venuto a sapere che i file pdf possono essere scaricati solo dagli utenti autorizzati. Questa funzionalità è accessibile dopo aver effettuato l'accesso all'applicazione.

Supponiamo che questo sia il percorso:

https://www.test-site.com/confarea/private/ebook.pdf

Ma quando sto cambiando la richiesta https in http come di seguito, sono in grado di scaricare il file direttamente senza alcuna restrizione.

http://www.test-site.com/confarea/private/ebook.pdf

Quindi, secondo OWASP Top 10 - 2013 :

  • Che tipo di vulnerabilità è questa? Appartengono a "A4 - Insecure Direct Object References" o "A7 - Missing Function Level Access Control"?
  • Questa vulnerabilità ha un nome particolare?
  • Quale sarebbe la gravità e l'impatto?

Per favore spiegalo in profondità.

    
posta magneto 11.05.2015 - 14:10
fonte

2 risposte

1

Il server web sembra applicare un controllo di sicurezza diverso se l'accesso proviene da HTTPS e da HTTP.

Il più probabile è che i progettisti pensassero che questo file sarebbe accessibile solo agli utenti HTTPS, e si è perso il fatto che questo URL può essere offerto anche tramite HTTP.

Nella tua domanda fai riferimento a:

  • A7 - Controllo di accesso a livello di funzione mancante : questo difetto riguarda una discrepanza tra le opzioni proposte nell'interfaccia web e le opzioni effettivamente accettate sul lato del server Web, con l'errore di disabilitare un'opzione solo sul server Web. interfaccia senza disabilitarne l'uso sul lato server. Qui non vi è alcuna menzione dell'interfaccia web e l'utente dovrebbe comunque utilizzare il collegamento HTTPS, quindi questo non è l'argomento corretto per classificare il problema corrente.
  • A4 - Insecure Direct Object References : questo difetto sembra indirizzare semplicemente l'accesso agli oggetti interni, ad es. oggetti a cui non si deve assolutamente accedere. Tuttavia, si potrebbe obiettare che questo file non dovrebbe essere affatto accessibile tramite HTTP, quindi da questo punto di vista potrebbe essere un argomento corretto.

In caso contrario, " A5 - Configurazione errata della sicurezza " potrebbe anche corrispondere dato che questo è solo un problema di impostazione, un'impostazione di accesso ai file HTTPS che influisce in modo errato sugli accessi HTTP o una restrizione mancante sugli accessi ai file HTTP.

Per quanto riguarda l'impatto tecnico, dà accesso a questo file a persone non autorizzate. L'impatto sul business dipende direttamente dal contenuto del file.

    
risposta data 11.05.2015 - 14:34
fonte
1

Non hai menzionato se hai provato la richiesta con i cookie (o altri dati di autenticazione) trattenuti.

Se la richiesta funziona ancora senza autenticazione per lo stesso schema e hai rimosso le intestazioni di cache come If-Modified-Since e If-None-Match , allora è "A4 - Insecure Direct Object References". Se la richiesta funziona solo quando non è stata modificata la richiesta di disabilitare le risposte memorizzate nella cache, questa è "Configurazione errata di A5-Security" perché l'applicazione sta memorizzando nella cache il contenuto privato.

Se la richiesta funziona con i cookie sia su HTTP che su HTTPS, questa è anche "Configurazione errata di A5". Questo perché l'applicazione dovrebbe impostare la Bandiera sicura sui cookie o implementare idealmente HSTS per impedire che i cookie di autenticazione vengano inviati su una connessione non protetta.

    
risposta data 12.05.2015 - 10:42
fonte

Leggi altre domande sui tag