Authorization

• Categoría:

• AccessControl

• Referencia:

• OWASP-AC-002

Descripcion:

Asegurar que los recursos que requieren autorización realicen verificaciones adecuadas de autorización antes de ser enviados a un usuario. Esta prueba se enfoca en validar que el sistema aplique correctamente los controles de acceso para proteger recursos sensibles. En otras palabras, se busca garantizar que sólo los usuarios autorizados puedan acceder a recursos específicos.

Herramientas recomendadas:

• Burp Suite
• Gobuster
• Dirb

Recomendaciones para realizar la prueba:

La validación de acceso a recursos puede realizarse manualmente mediante la manipulación de parámetros en las URLs. Por ejemplo, si contamos con una ruta como miweb.com/proyecto/1/editar, al sustituir el identificador 1 por otro número, solo deberíamos poder acceder al recurso si el proyecto corresponde al usuario autenticado. Para realizar estas pruebas, se pueden utilizar herramientas como Burp Suite, que permite interceptar y modificar parámetros para verificar si se puede acceder a recursos no autorizados. Asimismo, herramientas como GoBuster o Dirb resultan útiles para identificar rutas ocultas o no documentadas que podrían estar expuestas y ser accesibles por usuarios no autorizados.

Control de Acceso Basado en Roles y Permisos (RBAC/ABAC): Usa gates o políticas para centralizar las reglas de autorización. Usa middleware para garantizar que solo los usuarios autenticados accedan a rutas protegidas. Configura middleware adicional para roles específicos o permisos. Verifica siempre la autorización en los controladores antes de procesar solicitudes. Limita las consultas para devolver solo datos accesibles para el usuario actual.