ASP.NET Core permite que las acciones de la aplicación requieran autorización agregando el atributo [Authorize] a una clase o un método. Además, el requisito de autorización especificado de una clase o método de aplicación se puede omitir agregando el atributo [AllowAnonymous]. Cuando se especifican ambos, el atributo [AllowAnonymous] tiene prioridad y omite el atributo [Authorize]. Esto puede resultar en el acceso arbitrario y anónimo a datos y acciones confidenciales por parte de un atacante.

Ejemplo 1: El siguiente ejemplo muestra el atributo [AllowAnonymous] de clase anulando un conjunto de atributos [Authorize] en el método. El método secretAction() no requiere autorización a pesar de tener el atributo [Authorize].

...
[AllowAnonymous]
public class Authorization_Test
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

Ejemplo 2: El siguiente ejemplo muestra el atributo [AllowAnonymous] de clase de una superclase anulando un atributo [Authorize] establecido en el método de una subclase. Debido a que la clase heredada Inherit_AA tiene el atributo [AllowAnonymous], el método secretAction() no requiere autorización a pesar de especificar el atributo [Authorize].

...
[AllowAnonymous]
public abstract class Inherit_AA
{
    
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

Ejemplo 3: A continuación, se muestra el atributo [AllowAnonymous] que anula un atributo [Authorize] de método con herencia. Debido a que el método heredado secretAction() tiene el atributo [AllowAnonymous], el método secretAction() no requiere autorización, a pesar de especificar el atributo [Authorize] en el método de anulación.

...
public abstract class Inherit_AA
{
    [AllowAnonymous]
    public abstract IActionResult secretAction()
    {
        
    }
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public override IActionResult secretAction()
    {
        
    }
}
...

Se producen vulnerabilidades en el control de acceso cuando un atacante puede acceder a los recursos a los que solo tienen acceso los usuarios autorizados.

De forma predeterminada, las aplicaciones de Visualforce exigen automáticamente Seguridad a nivel de objeto (CRUD) y Seguridad a nivel de campo (FLS) si se utilizan los campos SObjects y SObject. Sin embargo, si se hace referencia a los objetos y los campos como tipos de datos genéricos, estos mecanismos no son obligatorios y las comprobaciones del control de acceso deben implementarse mediante programación.

Ejemplo 1: en el siguiente ejemplo de código, los campos se actualizan mediante métodos setter personalizados y, por lo tanto, se requieren comprobaciones de autorización.

<apex:page controller="accessControl">
  <apex:pageBlock >
    <apex:pageBlockSection >
      <apex:outputText value="Survey Name: "/>
      <apex:inputText value="{!surveyName}"/>
      </apex:pageBlockSection>
    <apex:pageBlockSection >
      <apex:outputText value="New Name: "/>
      <apex:inputText value="{!newSurveyName}"/>
    </apex:pageBlockSection>
      <apex:pageBlockSection >
      <apex:commandButton value="Update" action="{!updateName}"/>
    </apex:pageBlockSection>
  </apex:pageBlock>
</apex:page>

public String surveyName { get; set; }
public String newSurveyName { get; set; }
public PageReference updateName() {
  Survey__c s = [SELECT Name FROM Survey__c WHERE Name=:surveyName];

  s.Name = newSurveyName;
  update s;

  PageReference page = ApexPages.currentPage();            
  page.setRedirect(true);
  return page;
}

La aplicación permite que un usuario malintencionado controle los permisos concedidos a un objeto o contenedor de AWS S3. El usuario malintencionado puede así definir una política débil que le permita leer el contenido o escribir en archivos arbitrarios.

Ejemplo 1: El siguiente código crea un nuevo contenedor mediante una política de control de acceso especificada por el usuario.

    String canned_acl = request.getParameter("acl");

    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
        .bucket("foo")
        .acl(canned_acl)
        .createBucketConfiguration(CreateBucketConfiguration.builder().locationConstraint(region.id()).build())
        .build();

Incluso si la aplicación espera que se seleccione el parámetro acl en un grupo limitado, un usuario malintencionado puede definirlo como public-read-write y conceder acceso anónimo completo al contenedor.

Se producen errores de control de acceso de base de datos cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para especificar el nombre de elemento en la llamada de acceso a SimpleDB.
Ejemplo 1: el siguiente código realiza operaciones en una base de datos de facturas a las que se le asigna el nombre de la fecha de la transacción. El programa realiza en primer lugar la autenticación de los clientes y posteriormente les permite seleccionar facturas anteriores en una lista.

...
String selectedInvoice = request.getParameter("invoiceDate");
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
GetAttributesResult sdbResult = sdbc.getAttributes(new GetAttributesRequest("invoices", selectedInvoice));
...

Aunque el código del Example 1 genera una lista de facturas que pertenecen al usuario actual, un atacante podría omitir este comportamiento para solicitar la factura que desee. Dado que el código de este ejemplo no comprueba si el usuario tiene permiso para acceder a la factura solicitada, se mostrará cualquier factura, incluso si no pertenece al usuario actual.

Los errores de control de acceso se producen en las consultas SQLite cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para especificar el valor de una clave principal en una consulta SQLite.
Ejemplo 1: el siguiente código utiliza una instrucción parametrizada, que aplica escapes a metacaracteres e impide las vulnerabilidades de inyección de cadenas de consulta para crear y ejecutar una consulta SQLite que busque una factura que coincida con un identificador especificado por el usuario.

  ...
  id = this.getIntent().getExtras().getInt("id");
  cursor = db.query(Uri.parse(invoices), columns, "id = ? ", {id}, null, null, null);
  ...
  

El problema es que el desarrollador no ha tenido en cuenta todos los valores posibles de id. Aunque la consulta genera una lista de identificadores de factura que pertenecen al usuario actual, un atacante puede omitir este comportamiento para solicitar cualquier factura que desee. Como el código de este ejemplo no garantiza que el usuario tenga permiso para acceder a la factura solicitada, se mostrará cualquier factura, aunque no pertenezca al usuario actual.

La ejecución de consultas LDAP bajo un enlace anónimo, sin autenticación efectiva, puede permitir a un atacante abusar de un entorno LDAP configurado incorrectamente.

Ejemplo 1: El código siguiente crea la DirContext ctx mediante un enlace anónimo.

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
...

Todas las consultas LDAP ejecutadas contra ctx se realizarán sin autenticación ni control de acceso. Un atacante puede ser capaz de manipular una de estas consultas de forma inesperada para obtener acceso a registros que, de otro modo, estarían protegidos por el mecanismo de control de acceso del directorio.

Control de acceso: los problemas por eludir la autorización se producen cuando:

1. Los datos entran en un programa a través de un origen que no es de confianza.

2. Los datos controlados por el usuario se transfieren como un parámetro a un método que causa que el método omita sus comprobaciones de autorización.
Ejemplo 1: el siguiente código proporciona un indicador controlado por el usuario a un método que obtiene datos de los empleados:

    ...
	PARAMETERS: p_xfeld TYPE xfeld.
    ...
CALL FUNCTION 'BAPI_EMPLOYEE_GETDATA'
  EXPORTING
    employee_id      = emp_id
    authority_check  = p_xfeld
  IMPORTING
    return           = ret
  TABLES
    org_assignment   = org_data
    personal_data    = pers_data
    internal_control = con_data
    communication    = comm_data
    archivelink      = arlink. 
    ...

Si un usuario malintencionado proporciona espacios en blanco para el parámetro p_xfeld, no se llevan a cabo las comprobaciones de autorización antes de devolver la información personal y de contacto de un empleado.