ASP.NET Core permite que las acciones de la aplicación requieran autorización agregando el atributo [Authorize] a una clase o un método. Además, el requisito de autorización especificado de una clase o método de aplicación se puede omitir agregando el atributo [AllowAnonymous]. Cuando se especifican ambos, el atributo [AllowAnonymous] tiene prioridad y omite el atributo [Authorize]. Esto puede resultar en el acceso arbitrario y anónimo a datos y acciones confidenciales por parte de un atacante.

Ejemplo 1: El siguiente ejemplo muestra el atributo [AllowAnonymous] de clase anulando un conjunto de atributos [Authorize] en el método. El método secretAction() no requiere autorización a pesar de tener el atributo [Authorize].

...
[AllowAnonymous]
public class Authorization_Test
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

Ejemplo 2: El siguiente ejemplo muestra el atributo [AllowAnonymous] de clase de una superclase anulando un atributo [Authorize] establecido en el método de una subclase. Debido a que la clase heredada Inherit_AA tiene el atributo [AllowAnonymous], el método secretAction() no requiere autorización a pesar de especificar el atributo [Authorize].

...
[AllowAnonymous]
public abstract class Inherit_AA
{
    
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

Ejemplo 3: A continuación, se muestra el atributo [AllowAnonymous] que anula un atributo [Authorize] de método con herencia. Debido a que el método heredado secretAction() tiene el atributo [AllowAnonymous], el método secretAction() no requiere autorización, a pesar de especificar el atributo [Authorize] en el método de anulación.

...
public abstract class Inherit_AA
{
    [AllowAnonymous]
    public abstract IActionResult secretAction()
    {
        
    }
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public override IActionResult secretAction()
    {
        
    }
}
...

Solo se utilizan API destinadas a fines de depuración.

Se producen vulnerabilidades en el control de acceso cuando un atacante puede acceder a los recursos a los que solo tienen acceso los usuarios autorizados.

De forma predeterminada, las aplicaciones de Visualforce exigen automáticamente Seguridad a nivel de objeto (CRUD) y Seguridad a nivel de campo (FLS) si se utilizan los campos SObjects y SObject. Sin embargo, si se hace referencia a los objetos y los campos como tipos de datos genéricos, estos mecanismos no son obligatorios y las comprobaciones del control de acceso deben implementarse mediante programación.

Ejemplo 1: en el siguiente ejemplo de código, los campos se actualizan mediante métodos setter personalizados y, por lo tanto, se requieren comprobaciones de autorización.

<apex:page controller="accessControl">
  <apex:pageBlock >
    <apex:pageBlockSection >
      <apex:outputText value="Survey Name: "/>
      <apex:inputText value="{!surveyName}"/>
      </apex:pageBlockSection>
    <apex:pageBlockSection >
      <apex:outputText value="New Name: "/>
      <apex:inputText value="{!newSurveyName}"/>
    </apex:pageBlockSection>
      <apex:pageBlockSection >
      <apex:commandButton value="Update" action="{!updateName}"/>
    </apex:pageBlockSection>
  </apex:pageBlock>
</apex:page>

public String surveyName { get; set; }
public String newSurveyName { get; set; }
public PageReference updateName() {
  Survey__c s = [SELECT Name FROM Survey__c WHERE Name=:surveyName];

  s.Name = newSurveyName;
  update s;

  PageReference page = ApexPages.currentPage();            
  page.setRedirect(true);
  return page;
}

La aplicación permite que un usuario malintencionado controle los permisos concedidos a un objeto o contenedor de AWS S3. El usuario malintencionado puede así definir una política débil que le permita leer el contenido o escribir en archivos arbitrarios.

Ejemplo 1: El siguiente código crea un nuevo contenedor mediante una política de control de acceso especificada por el usuario.

    String canned_acl = request.getParameter("acl");

    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
        .bucket("foo")
        .acl(canned_acl)
        .createBucketConfiguration(CreateBucketConfiguration.builder().locationConstraint(region.id()).build())
        .build();

Incluso si la aplicación espera que se seleccione el parámetro acl en un grupo limitado, un usuario malintencionado puede definirlo como public-read-write y conceder acceso anónimo completo al contenedor.

Se producen errores de control de acceso de base de datos cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para especificar el nombre de elemento en la llamada de acceso a SimpleDB.
Ejemplo 1: el siguiente código realiza operaciones en una base de datos de facturas a las que se le asigna el nombre de la fecha de la transacción. El programa realiza en primer lugar la autenticación de los clientes y posteriormente les permite seleccionar facturas anteriores en una lista.

...
String selectedInvoice = request.getParameter("invoiceDate");
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
GetAttributesResult sdbResult = sdbc.getAttributes(new GetAttributesRequest("invoices", selectedInvoice));
...

Aunque el código del Example 1 genera una lista de facturas que pertenecen al usuario actual, un atacante podría omitir este comportamiento para solicitar la factura que desee. Dado que el código de este ejemplo no comprueba si el usuario tiene permiso para acceder a la factura solicitada, se mostrará cualquier factura, incluso si no pertenece al usuario actual.

Los errores de control de acceso se producen en las consultas SQLite cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para especificar el valor de una clave principal en una consulta SQLite.
Ejemplo 1: el siguiente código utiliza una instrucción parametrizada, que aplica escapes a metacaracteres e impide las vulnerabilidades de inyección de cadenas de consulta para crear y ejecutar una consulta SQLite que busque una factura que coincida con un identificador especificado por el usuario.

  ...
  id = this.getIntent().getExtras().getInt("id");
  cursor = db.query(Uri.parse(invoices), columns, "id = ? ", {id}, null, null, null);
  ...
  

El problema es que el desarrollador no ha tenido en cuenta todos los valores posibles de id. Aunque la consulta genera una lista de identificadores de factura que pertenecen al usuario actual, un atacante puede omitir este comportamiento para solicitar cualquier factura que desee. Como el código de este ejemplo no garantiza que el usuario tenga permiso para acceder a la factura solicitada, se mostrará cualquier factura, aunque no pertenezca al usuario actual.

La ejecución de consultas LDAP bajo un enlace anónimo, sin autenticación efectiva, puede permitir a un atacante abusar de un entorno LDAP configurado incorrectamente.

Ejemplo 1: El código siguiente crea la DirContext ctx mediante un enlace anónimo.

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
...

Todas las consultas LDAP ejecutadas contra ctx se realizarán sin autenticación ni control de acceso. Un atacante puede ser capaz de manipular una de estas consultas de forma inesperada para obtener acceso a registros que, de otro modo, estarían protegidos por el mecanismo de control de acceso del directorio.

Control de acceso: los problemas por eludir la autorización se producen cuando:

1. Los datos entran en un programa a través de un origen que no es de confianza.

2. Los datos controlados por el usuario se transfieren como un parámetro a un método que causa que el método omita sus comprobaciones de autorización.
Ejemplo 1: el siguiente código proporciona un indicador controlado por el usuario a un método que obtiene datos de los empleados:

    ...
	PARAMETERS: p_xfeld TYPE xfeld.
    ...
CALL FUNCTION 'BAPI_EMPLOYEE_GETDATA'
  EXPORTING
    employee_id      = emp_id
    authority_check  = p_xfeld
  IMPORTING
    return           = ret
  TABLES
    org_assignment   = org_data
    personal_data    = pers_data
    internal_control = con_data
    communication    = comm_data
    archivelink      = arlink. 
    ...

Si un usuario malintencionado proporciona espacios en blanco para el parámetro p_xfeld, no se llevan a cabo las comprobaciones de autorización antes de devolver la información personal y de contacto de un empleado.

Los errores de control de acceso a la nube de Azure se producen cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Se usan los datos para ver/modificar/eliminar una cola o blob no autorizados y sus mensajes o contenido.
Ejemplo 1: el siguiente código elimina la cola dada y sus mensajes.

    ...
    var queueName = queryStringData['name'];
    var queueSvc;
    queueSvc = azureStorage.createQueueService();
    ...
    queueSvc.deleteQueue(queueName, option, function(error, response){
      if(!error){
          // all the messages has been deleted
      }
    });
    ...
    

Ejemplo 2: el siguiente código elimina el contenedor de blob dado y su contenido.

    ...
    var containerName = queryStringData['name'];
    var blobSvc;
    blobSvc = azureStorage.createBlobService();
    ...
    blobSvc.deleteContainer(containerName, function (error, response) {
      if (!error) {
          // all the content in the given container has been deleted
      }
    });
    ...
    

Aunque el código en el Example 1 y el Example 2 elimina la cola o el contenedor de blob dado y sus mensajes o contenido que pertenecen al usuario o programa actual, un usuario malintencionado puede eliminar cualquier cola o blob de esa cuenta de Azure. Dado que el código en este ejemplo no realiza una comprobación para asegurarse de que el usuario o programa tiene permiso para borrar la cola o blob solicitado, borrará la cola o blob, incluso si no pertenece al usuario o programa actual.

En Android, los nombres de paquete distinguen mayúsculas de minúsculas, por lo que se deben comparar teniendo en cuenta esta característica. Una aplicación maliciosa podría compartir un paquete parecido con otro formato de letras, lo que permitiría eludir el control de acceso.

Ejemplo 1: El código siguiente realiza una comparación de cadenas no segura con propósitos de control de acceso:

public boolean isTrusted(String paramString) {
 if (this._applicationContext.getPackageName().equalsIgnoreCase(paramString)) {
 return true;
}

Se producen errores de control de acceso de base de datos cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para especificar el valor de una clave principal en una consulta SQL.
Example 1: The following code uses a parameterized statement, which escapes metacharacters and prevents SQL injection vulnerabilities, to construct and execute a SQL query that searches for an invoice matching the specified identifier [1]. El identificador se selecciona de una lista de todas las facturas asociadas al usuario autenticado actual.

...
id = Integer.decode(request.getParameter("invoiceID"));
String query = "SELECT * FROM invoices WHERE id = ?";
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();
...

El problema es que el desarrollador no ha tenido en cuenta todos los valores posibles de id. Aunque la interfaz genera una lista de identificadores de factura que pertenecen al usuario actual, un atacante puede eludir esta interfaz para solicitar cualquier factura que desee. Dado que el código de este ejemplo no comprueba si el usuario tiene permiso para acceder a la factura solicitada, se mostrará cualquier factura, incluso si no pertenece al usuario actual.

Algunos piensan que en el mundo de las plataformas móviles, las vulnerabilidades de las aplicaciones web clásicas, como los errores de control de acceso a bases de datos, no tienen ningún sentido: ¿por qué se atacaría un usuario a sí mismo? Sin embargo, tenga en cuenta que la esencia de las plataformas móviles consiste en aplicaciones que se descargan desde varias fuentes y se ejecutan junto con otras en el mismo dispositivo. La probabilidad de ejecutar un malware junto a una aplicación de banca es bastante alta, de modo que se necesita expandir la superficie expuesta a ataques de las aplicaciones móviles para que incluyan las comunicaciones entre procesos.

Ejemplo 2: el siguiente código adapta el Example 1 a la plataforma Android.

...
        String id = this.getIntent().getExtras().getString("invoiceID");
        String query = "SELECT * FROM invoices WHERE id = ?";
        SQLiteDatabase db = this.openOrCreateDatabase("DB", MODE_PRIVATE, null);
        Cursor c = db.rawQuery(query, new Object[]{id});
...

Varios marcos web modernos proporcionan mecanismos para realizar la validación de la entrada del usuario (entre ellos, Struts y Struts 2). Para resaltar los orígenes no validados de entrada, los Paquetes de reglas de codificación segura de Fortify vuelven a priorizar dinámicamente los problemas notificados por Fortify Static Code Analyzer reduciendo la probabilidad de ataques y ofreciendo argumentos para los elementos probatorios cada vez que el mecanismo de validación de la estructura está en uso. Esta característica recibe el nombre de clasificación basada en contexto. A modo de ayuda extra para el usuario de Fortify con el proceso de auditoría, Fortify Software Security Research Group facilita la plantilla de proyecto de validación de datos que agrupa los problemas en carpetas en función del mecanismo de validación aplicado al origen de la entrada.

Se producen errores de control de acceso de DLI cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para especificar el valor de una clave principal en un comando EXEC DLI.
Ejemplo 1: el siguiente código utiliza una instrucción parametrizada, que establece secuencias de escape metacaracteres e impide las vulnerabilidades de inyección, para crear y ejecutar un comando EXEC DLI que busca una factura que coincida con el identificador especificado. El identificador se selecciona de una lista de todas las facturas asociadas al usuario autenticado actual.

...
ACCEPT ID.
EXEC DLI
  GU
  SEGMENT(INVOICES) 
  WHERE (INVOICEID = ID)
END-EXEC.
...

El problema es que el desarrollador no ha tenido en cuenta todos los valores posibles de ID. Aunque la interfaz genera una lista de identificadores de factura que pertenecen al usuario actual, un atacante puede eludir esta interfaz para solicitar cualquier factura que desee. Dado que el código de este ejemplo no comprueba si el usuario tiene permiso para acceder a la factura solicitada, se mostrará cualquier factura, incluso si no pertenece al usuario actual.

De forma predeterminada, la autenticación de formularios ASP.NET valida las credenciales del usuario antes de pasarlas a las API nativas durante el proceso de autenticación. El problema es que esta funcionalidad se puede modificar con el parámetro aspnet:UseLegacyFormsAuthenticationTicketCompatibility para permitir que entradas no validadas se pasen a las API nativas y puede llevar a que un atacante pueda eludir la autenticación. Un atacante que aproveche con éxito esta vulnerabilidad podría eludir la autenticación de formularios ASP.NET para cualquier nombre de usuario conocido sin su contraseña. El atacante podría entonces realizar cualquier acción en el contexto del usuario víctima, incluida la ejecución de comandos arbitrarios en el sitio.

Ejemplo 1: en el siguiente ejemplo, aspnet:UseLegacyFormsAuthenticationTicketCompatibility está definido como true.

...
  <appSettings>
    <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
  </appSettings>
...

La clase Metadata se usa a menudo para albergar datos de cabeceras para un protocolo subyacente que usa Google Remote Procedure Call (gRPC). Al implementar la clase io.grpc.ServerInterceptor, el objeto Metadata debe validarse antes de pasar al siguiente objeto io.grpc.ServerCallHandler. Especialmente cuando el objeto Metadata tiene identificación de llamada.

Ejemplo 1: El siguiente código muestra datos controlables por el usuario que se usan como entrada para un objeto Metadata de gRPC que no está validado antes de pasar al siguiente objeto io.grpc.ServerCallHandler:

class PotentialAuthByPassInterceptor implements ServerInterceptor {
    @Override
    public <ReqT, RespT> ServerCall.Listener<ReqT> interceptCall(ServerCall<ReqT, RespT> call, Metadata metadata, ServerCallHandler<ReqT, RespT> next) {
        return Contexts.interceptCall(Context.current(), call, metadata, next);
    }
}

Se producen errores de control de acceso de base de datos cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se utilizan para especificar un valor de datos en una consulta LDAP.
Ejemplo 1: El ID de empleado del usuario actualmente autenticado se envía automáticamente con cada solicitud mediante la interfaz de cliente. El código siguiente valida un ID de empleado como un entero antes de usarlo para construir una consulta LDAP. Esta validación impide la aparición de vulnerabilidades de inserción LDAP, pero podría seguir dejando al código vulnerable.

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);

String empID = request.getParameter("empID");

try
{
  int id = Integer.parseInt(empID);

  BasicAttribute attr = new BasicAttribute("empID", empID);

  NamingEnumeration employee =
            ctx.search("ou=People,dc=example,dc=com",attr);
...

El problema es que el desarrollador no ha tenido en cuenta qué pasaría si un atacante proporciona valores alternativos de empID. Aunque la interfaz envíe automáticamente el ID de empleado al usuario actual, un atacante podría enviar un valor alternativo como parte de una solicitud maliciosa. Como el código de este ejemplo ejecuta la consulta bajo un vínculo anónimo, devolverá la entrada de directorio para un ID de empleado válido, independientemente de la identidad del usuario autenticado actualmente.

Cuando un usuario inicia manualmente una nueva transacción, el sistema SAP comprueba automáticamente si el usuario está autorizado para ejecutarla. Sin embargo, estas comprobaciones no se hacen de forma predeterminada cuando un usuario inicia mediante programación una nueva transacción llamando a la instrucción CALL TRANSACTION. Si no se efectúa una comprobación de autorización explícita antes de esta instrucción, el usuario que ejecuta el programa ABAP podrá iniciar una transacción que de otro modo no está permitida.

Ejemplo 1: El código siguiente llama a una transacción que puede ejecutar cualquier programa ABAP.

...
CALL TRANSACTION 'SA38'.
...

En este caso, un usuario no autorizado que ejecuta el código podrá iniciar cualquier programa ABAP y de esta forma hacerse con el control completo del sistema potencialmente.

Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar qué tipos de comprobaciones de autorización realizar al abrir un objeto MQ, existe la posibilidad de que un usuario malintencionado supere todas las comprobaciones de control de acceso cuando intente abrir de otro modo un objeto inaccesible.

Ejemplo: el siguiente fragmento de código COBOL lee los valores del terminal y los utiliza para controlar los campos MQOD-ALTERNATEUSERID y MQOD-ALTERNATESECURITYID del descriptor de objetos MQ.

...
10 MQOD.
**    Alternate user identifier
   15 MQOD-ALTERNATEUSERID     PIC X(12).
**    Alternate security identifier
   15 MQOD-ALTERNATESECURITYID PIC X(40).
   ...
...
ACCEPT MQOD-ALTERNATEUSERID.
ACCEPT MQOD-ALTERNATESECURITYID.
CALL 'MQOPEN' USING HCONN, MQOD, OPTS, HOBJ, COMPOCODE REASON.
... 

En este ejemplo, un usuario malintencionado podría suministrar los valores que le permitan superar las comprobaciones del control de acceso del objeto MQ que se va a abrir.

En general, no permita que los datos proporcionados por el usuario o que de alguna otra forma no son de confianza controlen los valores confidenciales.

Normalmente, las comprobaciones de seguridad en una aplicación SAP se hacen para el usuario que ejecuta la aplicación (el usuario registrado). Sin embargo, es posible comprobar la autorización de un usuario diferente (otro que no sea el usuario registrado) mediante programación de los modos siguientes:
1. La instrucción AUTHORITY-CHECK se usa junto con la adición FOR USER
2. Se invoca el módulo de función AUTHORITY_CHECK con el usuario especificado
3. Se invoca el módulo de función SU_RAUTH_CHECK_FOR_USER con el usuario especificado

Si bien estas comprobaciones pueden ser necesarias algunas veces, a menudo suponen un riesgo de seguridad por extensión de privilegios. Un usuario malicioso con control de la entrada "id de usuario" sobre la que se hacen comprobaciones de autorización será capaz de engañar al sistema para que le ofrezca acceso, que de otro modo tiene prohibido, proporcionando un super-usuario conocido (SAP* o DDIC, por ejemplo).

Incluso en casos en los que un usuario no tiene control directo sobre la 'id de usuario' empleada para las comprobaciones de autorización, pedir la autorización para un usuario diferente no se considera una práctica recomendada y debe evitarse. El usuario registrado (sy-uname) no tiene que especificarse explícitamente cuando se efectúan las comprobaciones de autorización. Este es el comportamiento predeterminado, especificarlo explícitamente, solo abre la puerta a que un sy-uname sea manipulado antes de que se ejecute la comprobación. Por consiguiente, es buena idea omitir las autorizaciones de comprobación para un usuario diferente en general y especificar explícitamente el usuario registrado en concreto.

Ejemplo 1: El código siguiente comprueba las autorizaciones de usuario antes de llamar a una transacción que puede ejecutar cualquier programa ABAP.

...
AUTHORITY-CHECK OBJECT 'S_TCODE' FOR USER v_user
ID 'TCD' FIELD 'SA38'.
IF sy-subrc = 0.
CALL TRANSACTION 'SA38'.
ELSE.
...

En este caso un usuario, que de otro modo no estaría autorizado, podrá iniciar cualquier programa ABAP proporcionando un super-usuario conocido (como SAP* o DDIC) en la variable v_user.

Las API de Java que realizan tareas mediante la comprobación de cargadores de clases del autor de la llamada inmediato deben utilizarse con precaución. Estas API omiten la comprobación de SecurityManager que garantiza que todos los autores de llamadas de la cadena de ejecución dispongan del permiso de seguridad necesario. Las comprobaciones de acceso solo en la clase del autor de la llamada inmediato pueden provocar problemas de escalada de privilegios, en los que un autor de una llamada en la cadena de ejecución puede acceder a recursos sin disponer de los permisos necesarios. Por lo tanto, no se debe llamar a estas API en nombre de código que no es de confianza, ya que se pone en peligro la seguridad del sistema.



Los applets Java de un origen o un entorno que no sean de confianza con acceso a estas API pueden ejecutar código malintencionado y comprometer la seguridad del sistema.

Las aplicaciones de Salesforce utilizan reglas de colaboración para controlar los permisos de los usuarios y el acceso a los registros de la base de datos. Sin embargo, las reglas de uso compartido de usuarios no siempre se aplican en Apex porque las clases de Apex se pueden declarar con diferentes palabras clave de uso compartido que cambian la forma en que se aplican las reglas. Una clase se puede declarar con una de tres palabras clave de uso compartido:

- with sharing: Se aplicarán las reglas de uso compartido de usuarios.
- without sharing: Las reglas de uso compartido no se aplicarán.
- inherited sharing: Se aplicarán las reglas de uso compartido de la clase que realiza la llamada. Cuando la clase que realiza la llamada no especifica una palabra clave de uso compartido, o cuando la propia clase es un punto de entrada, como un controlador de Visualforce, las reglas de uso compartido de usuarios se aplicarán de forma predeterminada.

Cuando no se declara ninguna de las palabras clave compartidas, la clase heredará el modo compartido de la clase llamante, si existe. De lo contrario, no se aplicarán las reglas de uso compartido.

Ejemplo 1: Las siguientes tres clases de Apex tienen palabras clave de uso compartido no seguras para sus llamadas de consulta de base de datos.

    public class TestClass1 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public without sharing class TestClass2 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public inherited sharing class TestClass3 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

Tanto TestClass1 como TestClass2 son inseguras porque los registros se pueden recuperar sin la aplicación de reglas de uso compartido de usuarios.

TestClass3 Es más seguro porque impone reglas de uso compartido de forma predeterminada. Sin embargo, aún se puede otorgar acceso no autorizado si se llama la función getAllTheSecrets() en una clase que declara explícitamente without sharing.