Broken access control через уязвимости бизнес-логики

Уязвимости класса Broken Access Control (BAC) постоянно занимают лидирующие позиции в рейтинге OWASP Top 10. В 2022 году я уже делала мастер-класс «Поиск уязвимостей IDOR (BOLA)», посвященный этой теме. В этот раз хочу затронуть проблемы гораздо глубже, чем простые ошибки в реализации авторизации.

Этот доклад посвящен менее очевидной, но крайне опасной категории угроз — Broken Access Control, возникающему из-за недостатков в самой бизнес-логике приложений.

Рассмотрим на примерах из багбаунти и реальных проектах, какие проблемы бизнес-логики приводят к BAC. Среди них:

• Дефолтные права;
• Интеграция;
• Автопродление;
• Коллизии прав доступа;
• Отобрали права;
• Проблемы последовательности;
• Обработки ошибок

Цель доклада — научить мыслить «как хакер», выявляя скрытые логические цепочки, которые могут быть эксплуатированы для нарушения контроля доступа. Надеюсь, после моего мастер-класса команды разработки будут задумываться о разобранных проблемах в своих приложениях.