Autorización a nivel de objeto roto (BOLA)

¿Qué es la autorización a nivel de objeto roto?

La Autorización de Nivel de Objeto Roto, o Broken Object Level Authorization (BOLA), es un tipo de vulnerabilidad de seguridad que se produce cuando un usuario puede acceder a los recursos de otro usuario sin la debida autorización. Este tipo de vulnerabilidad es común en aplicaciones web y móviles que no implementan correctamente los controles de autorización a nivel de objeto.

¿Cómo Funciona la Autorización de Nivel de Objeto Roto?

En una aplicación web o móvil, los usuarios suelen tener acceso a ciertos recursos basados en su nivel de autorización. Por ejemplo, un usuario puede tener acceso a su propio perfil, pero no al perfil de otro usuario. Sin embargo, si la aplicación no implementa correctamente los controles de autorización a nivel de objeto, un usuario podría ser capaz de acceder a los recursos de otro usuario simplemente cambiando el identificador de objeto en la URL o en la solicitud de API.

Ejemplo de BOLA

Imaginemos una aplicación de banca en línea donde cada usuario tiene su propia cuenta. Cuando un usuario inicia sesión, la aplicación podría generar una URL como esta: https://banco.com/cuenta/12345, donde 12345 es el identificador de la cuenta del usuario. Si la aplicación no implementa correctamente los controles de autorización a nivel de objeto, un usuario podría cambiar el número 12345 por 67890 en la URL para acceder a la cuenta de otro usuario.

Impacto de BOLA

El impacto de una vulnerabilidad de BOLA puede ser significativo. Un atacante podría ser capaz de acceder a información sensible, modificar datos o incluso realizar acciones en nombre de otro usuario. Esto podría llevar a la pérdida de privacidad, robo de identidad, pérdida financiera y otros daños.

Prevención de BOLA

La prevención de BOLA implica la implementación de controles de autorización a nivel de objeto adecuados. Esto significa que cada vez que un usuario intenta acceder a un recurso, la aplicación debe verificar si el usuario tiene permiso para acceder a ese recurso. Esto se puede hacer mediante la verificación de la identidad del usuario y la comparación de esta identidad con la lista de usuarios autorizados para el recurso en cuestión.

En resumen, la Autorización de Nivel de Objeto Roto es una vulnerabilidad de seguridad grave que puede tener un impacto significativo en la privacidad y seguridad de los usuarios. Es esencial que las aplicaciones web y móviles implementen controles de autorización a nivel de objeto adecuados para prevenir este tipo de vulnerabilidad.

`

`

FAQ

En esta parte, proporcionaremos aclaraciones a las consultas más comúnes sobre el Incumplimiento de Autorización a Nivel de Entidad (IANE).

¿Cuál es la definición del Incumplimiento de Autorización a Nivel de Entidad (IANE)?

El Incumplimiento de Autorización a Nivel de Entidad (IANE) se refiere a una brecha de seguridad que surge cuando un individuo puede modificar parámetros para llegar a areas protegidas innacesible a él o ella. Este escenario ocurre cuando una aplicación falla al confirmar adecuadamente si alguien posee el derecho de llegar a una entidad específica, brindando a los invasores la posibilidad de accesar información delicada o llevar a cabo acciones prohibidas.

¿Cómo opera el IANE?

El IANE se aprovecha de la ausencia de validación de autorización en las aplicaciones. Cada vez que un individuo solicita una entidad, la aplicación necesita comprobar si el individuo cuenta con los derechos para aceder a dicha entidad. En caso de que la aplicación omita este paso, un invasor podría ajustar los parámetros de la petición para llegar a entidades vedadas para él.

¿Cómo puedo salvaguardar mi aplicación del IANE?

La estrategia óptima para resguardar su aplicación contra el IANE es establecer verificaciones de autorización precisas. Esto implica que la aplicación deberá comprobar cada vez que un individuo solicite una entidad, si este cuenta con los derechos para acceder a dicha entidad. sumado a ello, es crucial realizar chequeos de seguridad constantes para hallar y subsanar cualquier brecha de IANE.

¿Cuál sería el efecto del IANE en mi aplicación?

Si un invasor se aprovecha de una brecha de IANE en su aplicación, tendría la capacidad de acceder a información delicada o efectuar acciones prohibidas. Esto podría ocasionar la pérdida de información, daño al prestigio de su empresa e incluso sanciones legales.

¿Cómo puedo hallar una brecha de IANE?

Identificar una brecha de IANE puede ser complejo, debido a que requiere un conocimiento especializado sobre cómo oprea la autorización en su aplicación. No obstante, una alerta habitual es que los individuos puedan llegar a entidades vedadas solo ajustando los parámetros de una petición. si se percibe dicho comportamiento, es muy probable que su aplicación sea susceptible al IANE.

Confiamos que este segmento de preguntas comúnes le haya otorgado un mejor entendimiento sobre el Incumplimiento de Autorización a Nivel de Entidad (IANE) y cómo podría impactar a su aplicación. Recuerde, la defensa más efectiva contra el IANE es establecer controles de autorización precisos y realizar chequeos de seguridad de manera constante.

Referencias

Para adentrarse en el mundo de la Autorización a Nivel de Objeto Quebrantada (ANOC), se proponen los siguientes materiales de estudio y consulta:

1. OWASP Top 10 - 2017: La iniciativa en línea OWASP genera múltiples recursos libres para la seguridad en la web. En su relación de los 10 riesgos más sobresalientes de seguridad para aplicaciones web de 2017, destaca la ANOC (bajo la etiqueta A5:2017-Broken Access Control) como una amenaza crítica.

2. Publicación Especial del NIST 800-162: El Institute Nacional de Estándares y Tecnología (NIST) brinda una guía expositiva sobre cómo aplicar los controles de acceso enfocados en roles y atributos para contrarrestar el riesgo de la ANOC.

Bibliografía

3. "Web Application Security: A Beginner's Guide" por Bryan Sullivan y Vincent Liu: Se plantea una introducción total a este campo, conteniendo un segmento preciso sobre la ANOC.

4. "The Tangled Web: A Guide to Securing Modern Web Applications" por Michal Zalewski: El autor tiene en su escritura un análisis detallado sobre las amenazas a la seguridad en las aplicaciones web actuales, contemplando la ANOC.

Sitios Web

5. "Understanding and Preventing Broken Authentication and Session Management" en Infosec Institute: Se plantea un resumen de la ANOC y sugiere medidas para su prevención.

6. "Broken Access Control" en PortSwigger Web Security Academy: Este recurso web brinda un análisis enérgico de la ANOC, con ejemplos de uso y soluciones.

7. "Broken Object Level Authorization" en HackTricks: Un estudio minucioso de la ANOC es el foco de este recurso, trayendo a sus lectores casos prácticos y soluciones.

Capacitaciones

8. "Web Security: Common Vulnerabilities And Their Mitigation" en Coursera: Esta capacitación abarca una multitud de riesgos a la seguridad en la web, donde la ANOC es uno de los temas destacados.

9. "Web Application Penetration Testing" en Cybrary: Este recurso de aprendizaje en línea guía al usuario sobre cómo llevar a cabo pruebas de penetración en aplicaciones web en búsqueda de vulnerabilidades de seguridad, incluyendo la ANOC.

Instrumentos de análisis

10. OWASP ZAP (Zed Attack Proxy): Este test de penetración de código abierto puede ser útil para descubrir vulnerabilidades de ANOC.

11. Burp Suite: Un paquete de herramientas que facilita pruebas de seguridad en aplicaciones web, con capacidades para la detección de ANOC.

Estos materiales brindan una base sólida para entender cómo protegerse de la Autorización a Nivel de Objeto Quebrantada (ANOC). También es crítico siempre mantenerse a la vanguardia de las últimas tendencias y avances en seguridad web.