美澳提醒注意 web 应用中的访问控制漏洞
美澳提醒注意 web 应用中的访问控制漏洞
Ionut Arghire 代码卫士 2023-08-01 17:51
聚焦源代码安全,网罗国内外最新资讯!****
编译:代码卫士
澳大利亚网络安全中心 (ACSC) 、美国网络安全和基础设施安全局 (CISA)和美国国家安全局 (NSA) 联合发布新指南,提醒开发人员、厂商和组织机构注意 web 应用中的访问控制漏洞。
这些访问控制漏洞被称为不安全的直接对象引用 (IDOR) 问题,可使威胁人员通过包括合法用户标识符的 API 请求读取或篡改敏感数据。
这些要求成功的原因是提交请求的用户的认证或授权未得到正确验证。指南指出,这些IDOR 漏洞可使用户以同样的权限或更高的权限访问本不应访问的数据,修改或删除数据或者访问本无权访问的函数。
这些漏洞可通过修改 POST 请求主体中HTML 格式的字段数据、修改 URL 中的标识符或其它用户标识符的 cookie、或拦截和修改使用 web 代理的合法请求,触发这些漏洞。
指南提到,“这些漏洞常被恶意人员在数据泄露事件中利用,因为这些漏洞很常见、难以在开发流程之外阻止且可遭大规模滥用。IDOR 漏洞导致数百万用户和客户的个人、金融和健康信息被攻陷。”
为了阻止访问控制漏洞的流行以及保护敏感数据,建议 web 应用厂商、设计人员和开发人员执行安全设计和默认安全原则,确保访问或修改数据的每个请求都得到正确认证和授权。他们可使用自动化工具识别和修复 IDOR 漏洞,依赖间接引用地图阻止 URL 中的ID、姓名和密钥遭暴露并应验证应用中所包含的所有第三方库和框架。
终端用户组织机构包括软件即服务组织机构,也应当审查所选 web 应用,遵循供应链风险管理最佳实践并及时应用可用补丁。
建议部署本地软件、私有云或基础设施即服务的组织机构评估 web 应用中的可用认证和授权检查,定期扫描漏洞并执行渗透测试,保护面向互联网资产的安全。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
API 安全:访问控制破坏和注入攻击是2022年的最大企业威胁
原文链接
https://www.securityweek.com/us-australia-issue-warning-over-access-control-vulnerabilities-in-web-applications/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~