
Анна Куренова
ATI.SU
Уязвимости класса Broken Access Control (BAC) постоянно занимают лидирующие позиции в рейтинге OWASP Top 10. В 2022 году я уже делала мастер-класс «Поиск уязвимостей IDOR (BOLA)», посвященный этой теме. В этот раз хочу затронуть проблемы гораздо глубже, чем простые ошибки в реализации авторизации.
Этот доклад посвящен менее очевидной, но крайне опасной категории угроз — Broken Access Control, возникающему из-за недостатков в самой бизнес-логике приложений.
Рассмотрим на примерах из багбаунти и реальных проектах, какие проблемы бизнес-логики приводят к BAC. Среди них:
Цель доклада — научить мыслить «как хакер», выявляя скрытые логические цепочки, которые могут быть эксплуатированы для нарушения контроля доступа. Надеюсь, после моего мастер-класса команды разработки будут задумываться о разобранных проблемах в своих приложениях.
ATI.SU