Las 10 mejores API de la serie OWASP de Coders Conquer Security: autorización a nivel de objeto roto
Las amenazas a la ciberseguridad en estos días son omnipresentes e incesantes. La situación ha empeorado tanto que tratar de mantenerse al día con ellos después de implementar los programas se ha vuelto casi imposible. Sin embargo, en esta era de DevSecOps, entrega continua y más datos que nunca, las organizaciones astutas ayudan a sus desarrolladores a convertirse en superestrellas conscientes de la seguridad, que ayudan a eliminar las vulnerabilidades más comunes antes de que lleguen a la producción. Hemos abordado vulnerabilidades web, más el nuestro Las 8 mejores infraestructuras como código errores, y ahora es el momento de familiarizarse con el próximo gran desafío de seguridad del software. ¿Estás preparado?
La próxima serie de blogs se centrará en algunos de los peores errores de seguridad relacionados con las interfaces de programación de aplicaciones (API). Son tan graves que crearon el Open Web Application Security Project (AVISPA) lista de las principales vulnerabilidades de la API. Dada la importancia de las API para las infraestructuras informáticas modernas, se trata de problemas críticos que debe mantener fuera de sus aplicaciones y programas a toda costa.
Un ejemplo perfecto de por qué es esencial usar código para reforzar la seguridad se puede encontrar en un examen de la vulnerabilidad de autorización a nivel de objeto roto. Esto ocurre cuando los programadores no definen de forma explícita qué usuarios pueden ver objetos y datos, ni proporcionan ningún tipo de verificación para ver, cambiar o realizar otras solicitudes para manipular objetos o acceder a ellos, lo que les permite modificar objetos y datos y acceder a ellos a través de los puntos finales de la API. Un punto final de la API es un punto de contacto, a menudo una URL, que se utiliza para la comunicación entre la propia API y otro sistema. La capacidad de conectividad entre las aplicaciones ha hecho que algunos de los programas más apreciados del mundo sean más populares, pero se corre el riesgo de exponer varios puntos finales si no son herméticos.
También puede ocurrir cuando los programadores olvidan o heredan propiedades de las clases principales, sin darse cuenta de que al hacerlo también se omite un proceso de verificación crítico dentro de su código. En general, se deben incluir comprobaciones de autorización a nivel de objeto para cada función que acceda a una fuente de datos mediante una entrada del usuario.
¿Cree que ya los conoce y puede encontrar, corregir y eliminar un error de control de acceso ahora mismo? Juega al desafío gamificado:
¿Cómo te fue? Si quieres mejorar tu puntuación, ¡sigue leyendo!
¿Cuáles son algunos ejemplos de vulnerabilidades de autorización a nivel de objeto incumplidas?
Las vulnerabilidades de control de acceso a nivel de objeto permiten a los atacantes realizar acciones que no se les debería permitir realizar. Esta puede ser una acción que debería reservarse a los administradores, como acceder a datos confidenciales o verlos, o destruir registros. En un entorno de alta seguridad, puede incluso significar impedir que alguien vea los registros a menos que esté específicamente autorizado para hacerlo.
Debe tener en cuenta todas las acciones posibles al definir la autorización a nivel de objeto. Por ejemplo, en la API Java Spring, un punto final con un posible problema podría tener este aspecto:
deleteOrder booleano público (ID largo) {
Pedido = OrderRepository.getOne (id);
si (pedido == nulo) {
log.info («No se encontró ningún pedido»);
devuelve falso;
}
Usuario usuario = Order.getUser ();
OrderRepository.delete (pedido);
log.info («Eliminar pedido para el usuario {}», user.getId ());
devuelve verdadero;
El punto final de la API elimina los pedidos por ID, pero no verifica si este pedido lo ha realizado el usuario que ha iniciado sesión actualmente. Esto brinda a un atacante la oportunidad de aprovechar este vacío legal y eliminar los pedidos de otros usuarios.
Para que las restricciones de acceso seguro se implementen correctamente, el código se parecería más a esto:
deleteOrder booleano público (ID largo) {
Usuario = UserService.getUserByContext ();
booleano orderExist = getUserOrders () .stream ()
.anyMatch (orden -> (Order.getId () == id));
si (OrderExist) {
OrderRepository.deleteById (id);
log.info («Eliminar pedido para el usuario {}», user.getId ());
devuelve verdadero;
} otra cosa {
log.info («No se encontró ningún pedido»);
devuelve falso;
Eliminar las vulnerabilidades de autorización a nivel de objeto roto
El código de control de acceso no tiene por qué ser demasiado complicado. En el caso de nuestro ejemplo de entorno de API Java Spring, se puede solucionar definiendo con precisión quién puede acceder a los objetos.
En primer lugar, se debe implementar un proceso de verificación para identificar quién hace la solicitud:
Usuario = UserService.getUserByContext ();
A continuación, debemos asegurarnos de que el identificador del objeto existe y pertenece al usuario que realiza la solicitud:
booleano orderExist = getUserOrders () .stream ()
.anyMatch (orden -> (Order.getId () == id));
Y por último, procedemos a borrar el objeto:
OrderRepository.deleteById (id);
Ten en cuenta que debes asegurarte de que el método de autorización de tu código se alinee con las políticas de usuario y los controles de acceso a los datos de tu organización. Para garantizar que tu código es totalmente seguro, debes realizar comprobaciones para comprobar que los usuarios con diferentes niveles de permisos tienen acceso a los datos que necesitan para realizar su trabajo, pero no pueden ver ni cambiar nada que esté restringido a ellos. Si lo hace, podría descubrir vulnerabilidades en el control de objetos que faltan y que accidentalmente se han pasado por alto.
Las principales conclusiones de estos ejemplos son definir primero todas las acciones que un usuario podría realizar con un objeto y, a continuación, añadir controles de acceso sólidos directamente al código. Y, por último, nunca confíes en las propiedades principales heredadas para hacer ese trabajo o para delegar esa autoridad en otro lugar. En su lugar, defina los permisos y las acciones de usuario en el código de forma explícita para cada tipo de objeto que necesite proteger.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
En general, se deben incluir comprobaciones de autorización a nivel de objeto para cada función que acceda a una fuente de datos mediante una entrada del usuario, y no hacerlo conlleva un gran riesgo.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Las amenazas a la ciberseguridad en estos días son omnipresentes e incesantes. La situación ha empeorado tanto que tratar de mantenerse al día con ellos después de implementar los programas se ha vuelto casi imposible. Sin embargo, en esta era de DevSecOps, entrega continua y más datos que nunca, las organizaciones astutas ayudan a sus desarrolladores a convertirse en superestrellas conscientes de la seguridad, que ayudan a eliminar las vulnerabilidades más comunes antes de que lleguen a la producción. Hemos abordado vulnerabilidades web, más el nuestro Las 8 mejores infraestructuras como código errores, y ahora es el momento de familiarizarse con el próximo gran desafío de seguridad del software. ¿Estás preparado?
La próxima serie de blogs se centrará en algunos de los peores errores de seguridad relacionados con las interfaces de programación de aplicaciones (API). Son tan graves que crearon el Open Web Application Security Project (AVISPA) lista de las principales vulnerabilidades de la API. Dada la importancia de las API para las infraestructuras informáticas modernas, se trata de problemas críticos que debe mantener fuera de sus aplicaciones y programas a toda costa.
Un ejemplo perfecto de por qué es esencial usar código para reforzar la seguridad se puede encontrar en un examen de la vulnerabilidad de autorización a nivel de objeto roto. Esto ocurre cuando los programadores no definen de forma explícita qué usuarios pueden ver objetos y datos, ni proporcionan ningún tipo de verificación para ver, cambiar o realizar otras solicitudes para manipular objetos o acceder a ellos, lo que les permite modificar objetos y datos y acceder a ellos a través de los puntos finales de la API. Un punto final de la API es un punto de contacto, a menudo una URL, que se utiliza para la comunicación entre la propia API y otro sistema. La capacidad de conectividad entre las aplicaciones ha hecho que algunos de los programas más apreciados del mundo sean más populares, pero se corre el riesgo de exponer varios puntos finales si no son herméticos.
También puede ocurrir cuando los programadores olvidan o heredan propiedades de las clases principales, sin darse cuenta de que al hacerlo también se omite un proceso de verificación crítico dentro de su código. En general, se deben incluir comprobaciones de autorización a nivel de objeto para cada función que acceda a una fuente de datos mediante una entrada del usuario.
¿Cree que ya los conoce y puede encontrar, corregir y eliminar un error de control de acceso ahora mismo? Juega al desafío gamificado:
¿Cómo te fue? Si quieres mejorar tu puntuación, ¡sigue leyendo!
¿Cuáles son algunos ejemplos de vulnerabilidades de autorización a nivel de objeto incumplidas?
Las vulnerabilidades de control de acceso a nivel de objeto permiten a los atacantes realizar acciones que no se les debería permitir realizar. Esta puede ser una acción que debería reservarse a los administradores, como acceder a datos confidenciales o verlos, o destruir registros. En un entorno de alta seguridad, puede incluso significar impedir que alguien vea los registros a menos que esté específicamente autorizado para hacerlo.
Debe tener en cuenta todas las acciones posibles al definir la autorización a nivel de objeto. Por ejemplo, en la API Java Spring, un punto final con un posible problema podría tener este aspecto:
deleteOrder booleano público (ID largo) {
Pedido = OrderRepository.getOne (id);
si (pedido == nulo) {
log.info («No se encontró ningún pedido»);
devuelve falso;
}
Usuario usuario = Order.getUser ();
OrderRepository.delete (pedido);
log.info («Eliminar pedido para el usuario {}», user.getId ());
devuelve verdadero;
El punto final de la API elimina los pedidos por ID, pero no verifica si este pedido lo ha realizado el usuario que ha iniciado sesión actualmente. Esto brinda a un atacante la oportunidad de aprovechar este vacío legal y eliminar los pedidos de otros usuarios.
Para que las restricciones de acceso seguro se implementen correctamente, el código se parecería más a esto:
deleteOrder booleano público (ID largo) {
Usuario = UserService.getUserByContext ();
booleano orderExist = getUserOrders () .stream ()
.anyMatch (orden -> (Order.getId () == id));
si (OrderExist) {
OrderRepository.deleteById (id);
log.info («Eliminar pedido para el usuario {}», user.getId ());
devuelve verdadero;
} otra cosa {
log.info («No se encontró ningún pedido»);
devuelve falso;
Eliminar las vulnerabilidades de autorización a nivel de objeto roto
El código de control de acceso no tiene por qué ser demasiado complicado. En el caso de nuestro ejemplo de entorno de API Java Spring, se puede solucionar definiendo con precisión quién puede acceder a los objetos.
En primer lugar, se debe implementar un proceso de verificación para identificar quién hace la solicitud:
Usuario = UserService.getUserByContext ();
A continuación, debemos asegurarnos de que el identificador del objeto existe y pertenece al usuario que realiza la solicitud:
booleano orderExist = getUserOrders () .stream ()
.anyMatch (orden -> (Order.getId () == id));
Y por último, procedemos a borrar el objeto:
OrderRepository.deleteById (id);
Ten en cuenta que debes asegurarte de que el método de autorización de tu código se alinee con las políticas de usuario y los controles de acceso a los datos de tu organización. Para garantizar que tu código es totalmente seguro, debes realizar comprobaciones para comprobar que los usuarios con diferentes niveles de permisos tienen acceso a los datos que necesitan para realizar su trabajo, pero no pueden ver ni cambiar nada que esté restringido a ellos. Si lo hace, podría descubrir vulnerabilidades en el control de objetos que faltan y que accidentalmente se han pasado por alto.
Las principales conclusiones de estos ejemplos son definir primero todas las acciones que un usuario podría realizar con un objeto y, a continuación, añadir controles de acceso sólidos directamente al código. Y, por último, nunca confíes en las propiedades principales heredadas para hacer ese trabajo o para delegar esa autoridad en otro lugar. En su lugar, defina los permisos y las acciones de usuario en el código de forma explícita para cada tipo de objeto que necesite proteger.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Las amenazas a la ciberseguridad en estos días son omnipresentes e incesantes. La situación ha empeorado tanto que tratar de mantenerse al día con ellos después de implementar los programas se ha vuelto casi imposible. Sin embargo, en esta era de DevSecOps, entrega continua y más datos que nunca, las organizaciones astutas ayudan a sus desarrolladores a convertirse en superestrellas conscientes de la seguridad, que ayudan a eliminar las vulnerabilidades más comunes antes de que lleguen a la producción. Hemos abordado vulnerabilidades web, más el nuestro Las 8 mejores infraestructuras como código errores, y ahora es el momento de familiarizarse con el próximo gran desafío de seguridad del software. ¿Estás preparado?
La próxima serie de blogs se centrará en algunos de los peores errores de seguridad relacionados con las interfaces de programación de aplicaciones (API). Son tan graves que crearon el Open Web Application Security Project (AVISPA) lista de las principales vulnerabilidades de la API. Dada la importancia de las API para las infraestructuras informáticas modernas, se trata de problemas críticos que debe mantener fuera de sus aplicaciones y programas a toda costa.
Un ejemplo perfecto de por qué es esencial usar código para reforzar la seguridad se puede encontrar en un examen de la vulnerabilidad de autorización a nivel de objeto roto. Esto ocurre cuando los programadores no definen de forma explícita qué usuarios pueden ver objetos y datos, ni proporcionan ningún tipo de verificación para ver, cambiar o realizar otras solicitudes para manipular objetos o acceder a ellos, lo que les permite modificar objetos y datos y acceder a ellos a través de los puntos finales de la API. Un punto final de la API es un punto de contacto, a menudo una URL, que se utiliza para la comunicación entre la propia API y otro sistema. La capacidad de conectividad entre las aplicaciones ha hecho que algunos de los programas más apreciados del mundo sean más populares, pero se corre el riesgo de exponer varios puntos finales si no son herméticos.
También puede ocurrir cuando los programadores olvidan o heredan propiedades de las clases principales, sin darse cuenta de que al hacerlo también se omite un proceso de verificación crítico dentro de su código. En general, se deben incluir comprobaciones de autorización a nivel de objeto para cada función que acceda a una fuente de datos mediante una entrada del usuario.
¿Cree que ya los conoce y puede encontrar, corregir y eliminar un error de control de acceso ahora mismo? Juega al desafío gamificado:
¿Cómo te fue? Si quieres mejorar tu puntuación, ¡sigue leyendo!
¿Cuáles son algunos ejemplos de vulnerabilidades de autorización a nivel de objeto incumplidas?
Las vulnerabilidades de control de acceso a nivel de objeto permiten a los atacantes realizar acciones que no se les debería permitir realizar. Esta puede ser una acción que debería reservarse a los administradores, como acceder a datos confidenciales o verlos, o destruir registros. En un entorno de alta seguridad, puede incluso significar impedir que alguien vea los registros a menos que esté específicamente autorizado para hacerlo.
Debe tener en cuenta todas las acciones posibles al definir la autorización a nivel de objeto. Por ejemplo, en la API Java Spring, un punto final con un posible problema podría tener este aspecto:
deleteOrder booleano público (ID largo) {
Pedido = OrderRepository.getOne (id);
si (pedido == nulo) {
log.info («No se encontró ningún pedido»);
devuelve falso;
}
Usuario usuario = Order.getUser ();
OrderRepository.delete (pedido);
log.info («Eliminar pedido para el usuario {}», user.getId ());
devuelve verdadero;
El punto final de la API elimina los pedidos por ID, pero no verifica si este pedido lo ha realizado el usuario que ha iniciado sesión actualmente. Esto brinda a un atacante la oportunidad de aprovechar este vacío legal y eliminar los pedidos de otros usuarios.
Para que las restricciones de acceso seguro se implementen correctamente, el código se parecería más a esto:
deleteOrder booleano público (ID largo) {
Usuario = UserService.getUserByContext ();
booleano orderExist = getUserOrders () .stream ()
.anyMatch (orden -> (Order.getId () == id));
si (OrderExist) {
OrderRepository.deleteById (id);
log.info («Eliminar pedido para el usuario {}», user.getId ());
devuelve verdadero;
} otra cosa {
log.info («No se encontró ningún pedido»);
devuelve falso;
Eliminar las vulnerabilidades de autorización a nivel de objeto roto
El código de control de acceso no tiene por qué ser demasiado complicado. En el caso de nuestro ejemplo de entorno de API Java Spring, se puede solucionar definiendo con precisión quién puede acceder a los objetos.
En primer lugar, se debe implementar un proceso de verificación para identificar quién hace la solicitud:
Usuario = UserService.getUserByContext ();
A continuación, debemos asegurarnos de que el identificador del objeto existe y pertenece al usuario que realiza la solicitud:
booleano orderExist = getUserOrders () .stream ()
.anyMatch (orden -> (Order.getId () == id));
Y por último, procedemos a borrar el objeto:
OrderRepository.deleteById (id);
Ten en cuenta que debes asegurarte de que el método de autorización de tu código se alinee con las políticas de usuario y los controles de acceso a los datos de tu organización. Para garantizar que tu código es totalmente seguro, debes realizar comprobaciones para comprobar que los usuarios con diferentes niveles de permisos tienen acceso a los datos que necesitan para realizar su trabajo, pero no pueden ver ni cambiar nada que esté restringido a ellos. Si lo hace, podría descubrir vulnerabilidades en el control de objetos que faltan y que accidentalmente se han pasado por alto.
Las principales conclusiones de estos ejemplos son definir primero todas las acciones que un usuario podría realizar con un objeto y, a continuación, añadir controles de acceso sólidos directamente al código. Y, por último, nunca confíes en las propiedades principales heredadas para hacer ese trabajo o para delegar esa autoridad en otro lugar. En su lugar, defina los permisos y las acciones de usuario en el código de forma explícita para cada tipo de objeto que necesite proteger.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Las amenazas a la ciberseguridad en estos días son omnipresentes e incesantes. La situación ha empeorado tanto que tratar de mantenerse al día con ellos después de implementar los programas se ha vuelto casi imposible. Sin embargo, en esta era de DevSecOps, entrega continua y más datos que nunca, las organizaciones astutas ayudan a sus desarrolladores a convertirse en superestrellas conscientes de la seguridad, que ayudan a eliminar las vulnerabilidades más comunes antes de que lleguen a la producción. Hemos abordado vulnerabilidades web, más el nuestro Las 8 mejores infraestructuras como código errores, y ahora es el momento de familiarizarse con el próximo gran desafío de seguridad del software. ¿Estás preparado?
La próxima serie de blogs se centrará en algunos de los peores errores de seguridad relacionados con las interfaces de programación de aplicaciones (API). Son tan graves que crearon el Open Web Application Security Project (AVISPA) lista de las principales vulnerabilidades de la API. Dada la importancia de las API para las infraestructuras informáticas modernas, se trata de problemas críticos que debe mantener fuera de sus aplicaciones y programas a toda costa.
Un ejemplo perfecto de por qué es esencial usar código para reforzar la seguridad se puede encontrar en un examen de la vulnerabilidad de autorización a nivel de objeto roto. Esto ocurre cuando los programadores no definen de forma explícita qué usuarios pueden ver objetos y datos, ni proporcionan ningún tipo de verificación para ver, cambiar o realizar otras solicitudes para manipular objetos o acceder a ellos, lo que les permite modificar objetos y datos y acceder a ellos a través de los puntos finales de la API. Un punto final de la API es un punto de contacto, a menudo una URL, que se utiliza para la comunicación entre la propia API y otro sistema. La capacidad de conectividad entre las aplicaciones ha hecho que algunos de los programas más apreciados del mundo sean más populares, pero se corre el riesgo de exponer varios puntos finales si no son herméticos.
También puede ocurrir cuando los programadores olvidan o heredan propiedades de las clases principales, sin darse cuenta de que al hacerlo también se omite un proceso de verificación crítico dentro de su código. En general, se deben incluir comprobaciones de autorización a nivel de objeto para cada función que acceda a una fuente de datos mediante una entrada del usuario.
¿Cree que ya los conoce y puede encontrar, corregir y eliminar un error de control de acceso ahora mismo? Juega al desafío gamificado:
¿Cómo te fue? Si quieres mejorar tu puntuación, ¡sigue leyendo!
¿Cuáles son algunos ejemplos de vulnerabilidades de autorización a nivel de objeto incumplidas?
Las vulnerabilidades de control de acceso a nivel de objeto permiten a los atacantes realizar acciones que no se les debería permitir realizar. Esta puede ser una acción que debería reservarse a los administradores, como acceder a datos confidenciales o verlos, o destruir registros. En un entorno de alta seguridad, puede incluso significar impedir que alguien vea los registros a menos que esté específicamente autorizado para hacerlo.
Debe tener en cuenta todas las acciones posibles al definir la autorización a nivel de objeto. Por ejemplo, en la API Java Spring, un punto final con un posible problema podría tener este aspecto:
deleteOrder booleano público (ID largo) {
Pedido = OrderRepository.getOne (id);
si (pedido == nulo) {
log.info («No se encontró ningún pedido»);
devuelve falso;
}
Usuario usuario = Order.getUser ();
OrderRepository.delete (pedido);
log.info («Eliminar pedido para el usuario {}», user.getId ());
devuelve verdadero;
El punto final de la API elimina los pedidos por ID, pero no verifica si este pedido lo ha realizado el usuario que ha iniciado sesión actualmente. Esto brinda a un atacante la oportunidad de aprovechar este vacío legal y eliminar los pedidos de otros usuarios.
Para que las restricciones de acceso seguro se implementen correctamente, el código se parecería más a esto:
deleteOrder booleano público (ID largo) {
Usuario = UserService.getUserByContext ();
booleano orderExist = getUserOrders () .stream ()
.anyMatch (orden -> (Order.getId () == id));
si (OrderExist) {
OrderRepository.deleteById (id);
log.info («Eliminar pedido para el usuario {}», user.getId ());
devuelve verdadero;
} otra cosa {
log.info («No se encontró ningún pedido»);
devuelve falso;
Eliminar las vulnerabilidades de autorización a nivel de objeto roto
El código de control de acceso no tiene por qué ser demasiado complicado. En el caso de nuestro ejemplo de entorno de API Java Spring, se puede solucionar definiendo con precisión quién puede acceder a los objetos.
En primer lugar, se debe implementar un proceso de verificación para identificar quién hace la solicitud:
Usuario = UserService.getUserByContext ();
A continuación, debemos asegurarnos de que el identificador del objeto existe y pertenece al usuario que realiza la solicitud:
booleano orderExist = getUserOrders () .stream ()
.anyMatch (orden -> (Order.getId () == id));
Y por último, procedemos a borrar el objeto:
OrderRepository.deleteById (id);
Ten en cuenta que debes asegurarte de que el método de autorización de tu código se alinee con las políticas de usuario y los controles de acceso a los datos de tu organización. Para garantizar que tu código es totalmente seguro, debes realizar comprobaciones para comprobar que los usuarios con diferentes niveles de permisos tienen acceso a los datos que necesitan para realizar su trabajo, pero no pueden ver ni cambiar nada que esté restringido a ellos. Si lo hace, podría descubrir vulnerabilidades en el control de objetos que faltan y que accidentalmente se han pasado por alto.
Las principales conclusiones de estos ejemplos son definir primero todas las acciones que un usuario podría realizar con un objeto y, a continuación, añadir controles de acceso sólidos directamente al código. Y, por último, nunca confíes en las propiedades principales heredadas para hacer ese trabajo o para delegar esa autoridad en otro lugar. En su lugar, defina los permisos y las acciones de usuario en el código de forma explícita para cada tipo de objeto que necesite proteger.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
