Authorized pages/functions

• Categoría:

• AccessControl

• Referencia:

• OWASP-AC-004

Descripcion:

Esta prueba tiene como objetivo identificar si las rutas, páginas o funciones que deberían estar protegidas por autenticación pueden ser accedidas sin necesidad de iniciar sesión.

Herramientas recomendadas:

• Gobuster
• Dirb

Recomendaciones para realizar la prueba:

Emplea herramientas que permitan encontrar rutas ocultas a través de diccionarios de fuerza bruta. Tanto Dirb como GoBuster te permiten encontrar rutas ocultas de manera sencilla y ver el código de estado de respuesta HTTP.

Emplea middleware de autenticación en las rutas de la aplicación y establece políticas de autorización para acceder a determinados recursos. Asegúrate también de implementar control de acceso basado en roles (RBAC) o control de acceso basado en atributos (ABAC), para que los usuarios solo puedan acceder a lo que tienen permitido, según sus roles o atributos.