Card image cap

Parameter Analysis

  • Categoría:

  • AccessControl

  • Referencia:

  • OWASP-AC-001

Descripcion:

Este enunciado se refiere a la necesidad de que las aplicaciones implementen un control de acceso adecuado para prevenir que los usuarios no autorizados puedan realizar acciones que no deberían, aprovechándose de parámetros enviados en formularios. En otras palabras, se refiere a proteger la aplicación de posibles ataques en los cuales un atacante pueda manipular parámetros y realizar acciones no autorizadas.

Herramientas recomendadas:
Recomendaciones para realizar la prueba:

Se recomienda emplear la herramienta Burp Suite y ver los parámetros que se envían en la petición GET/POST. Manipula en el repeater alguno de esos parámetros con el objetivo de realizar una acción que se escape a la lógica de la aplicación y comprometa su seguridad. Observar si es capaz de detectar ese cambio de parámetro.

Recomendaciones para defenderse del ataque:

Asegúrate de validar todos los datos recibidos desde el cliente, especialmente los parámetros enviados en formularios, URL o cabeceras HTTP. Usa sistemas de control de acceso basados en roles. Implementa políticas de autorización. Configura middleware para proteger rutas críticas y cifra y descifra parámetros sensibles antes de enviarlos al cliente.