Доклад

Broken access control через уязвимости бизнес-логики

На русском языке

Уязвимости класса Broken Access Control (BAC) постоянно занимают лидирующие позиции в рейтинге OWASP Top 10. В 2022 году я уже делала мастер-класс «Поиск уязвимостей IDOR (BOLA)», посвященный этой теме. В этот раз хочу затронуть проблемы гораздо глубже, чем простые ошибки в реализации авторизации.

Этот доклад посвящен менее очевидной, но крайне опасной категории угроз — Broken Access Control, возникающему из-за недостатков в самой бизнес-логике приложений.

Рассмотрим на примерах из багбаунти и реальных проектах, какие проблемы бизнес-логики приводят к BAC. Среди них:

  • Дефолтные права;
  • Интеграция;
  • Автопродление;
  • Коллизии прав доступа;
  • Отобрали права;
  • Проблемы последовательности;
  • Обработки ошибок

Цель доклада — научить мыслить «как хакер», выявляя скрытые логические цепочки, которые могут быть эксплуатированы для нарушения контроля доступа. Надеюсь, после моего мастер-класса команды разработки будут задумываться о разобранных проблемах в своих приложениях.

Спикеры

Доклады