Authorization Parameter Manipulation

• Categoría:

• AccessControl

• Referencia:

• OWASP-AC-003

Descripcion:

Esta prueba comprueba si un atacante puede manipular el ID de sesión para suplantar a otro usuario.

Herramientas recomendadas:

• Burp Suite

Recomendaciones para realizar la prueba:

Se recomienda el uso de la herramienta Burp Suite para evaluar la seguridad en el control de acceso. El procedimiento consiste en interceptar una petición con Burp Suite y enviarla al módulo Repeater. Desde el Repeater, se puede modificar la cookie de sesión u otros parámetros relacionados con la autenticación para analizar cómo responde el servidor. Este enfoque permite comprobar si el sistema implementa adecuadamente las restricciones de acceso y si existen vulnerabilidades que podrían ser explotadas para acceder a recursos no autorizados.

Usa identificadores de sesión seguros que sean largos, aleatorios y difíciles de adivinar. No uses valores secuenciales o predecibles como session_id=1, session_id=2, etc. Utiliza tokens de sesión (como los tokens CSRF, JWT o OAuth) para manejar la autenticación de usuario, asegurando que el acceso a los recursos esté vinculado al token correspondiente y no a parámetros manipulables.