No que se refere a segurança de aplicativos web, prevenção e...
No que se refere a segurança de aplicativos web, prevenção e combate a ataques a redes de computadores e sistemas criptográficos, julgue o item seguinte.
Na execução de uma aplicação web, a possibilidade de um usuário não autenticado agir como um usuário autenticado ou de um usuário comum autenticado agir como um administrador representa falha de segurança de elevação de privilégios relacionada ao controle de acesso da aplicação.
Comentários
Veja os comentários dos nossos alunos
JUSTIFICATIVA - Certo. O controle de acesso aplica a política de modo que os usuários não possam agir fora de das permissões pretendidas. Falhas normalmente levam à divulgação não autorizada de informações, modificação ou destruição de todos os dados ou à execução de uma função comercial fora dos limites do usuário.
O mundo produz ondas. Surfar ou se afogar, você decide.
Sim, a afirmação está correta. Vamos detalhar:
1. **Elevação de Privilégios**:
- A **elevação de privilégios** ocorre quando um usuário consegue acessar funcionalidades ou dados além do que seu nível de permissão permite. Isso pode acontecer de duas formas:
- **Vertical**: Um usuário comum obtém acesso a recursos reservados a administradores.
- **Horizontal**: Um usuário acessa recursos de outro usuário com o mesmo nível de permissão.
2. **Cenários Descritos**:
- **Usuário não autenticado agindo como autenticado**: Isso ocorre quando a aplicação não valida adequadamente se o usuário está autenticado antes de permitir o acesso a recursos restritos. Por exemplo, se um endpoint da API não verifica a autenticação, um atacante pode acessar dados ou funcionalidades sem precisar fazer login.
- **Usuário comum agindo como administrador**: Isso acontece quando a aplicação não verifica corretamente as permissões do usuário autenticado. Por exemplo, se um usuário comum consegue acessar uma página ou função administrativa simplesmente alterando um parâmetro na URL ou em uma requisição.
3. **Falha de Controle de Acesso**:
- Ambos os cenários descritos são exemplos de **falhas de controle de acesso**, que permitem que usuários realizem ações além de suas permissões designadas. Essas falhas são classificadas como **elevação de privilégios** e estão entre as vulnerabilidades mais críticas em aplicações web.
4. **Impacto**:
- A elevação de privilégios pode levar a:
- Exposição de dados sensíveis.
- Modificação ou exclusão não autorizada de dados.
- Comprometimento de toda a aplicação ou sistema.
5. **Prevenção**:
- Para evitar essas falhas, é essencial implementar:
- **Autenticação robusta**: Garantir que apenas usuários autenticados possam acessar recursos restritos.
- **Controle de acesso baseado em funções (RBAC)**: Verificar as permissões do usuário antes de permitir o acesso a funcionalidades ou dados.
- **Validação rigorosa**: Não confiar em parâmetros fornecidos pelo cliente (como IDs de usuário ou níveis de permissão) sem validação no servidor.
- **Testes de segurança**: Realizar testes regulares, como pentests e revisões de código, para identificar e corrigir falhas de controle de acesso.
### Conclusão
A possibilidade de um usuário não autenticado agir como autenticado ou de um usuário comum agir como administrador é, de fato, uma **falha de elevação de privilégios** relacionada ao controle de acesso. Essa vulnerabilidade pode ter sérias consequências e deve ser mitigada com boas práticas de desenvolvimento e segurança.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo