O ASP.NET Core permite que as ações do aplicativo exijam autorização adicionando o atributo [Authorize] a uma classe ou método. Além disso, o requisito de autorização especificado de uma classe ou método de aplicativo pode ser ignorado adicionando o atributo [AllowAnonymous]. Quando ambos são especificados, o atributo [AllowAnonymous] tem precedência e ignora o atributo [Authorize]. Isso pode resultar no acesso arbitrário e anônimo de dados e ações confidenciais por um invasor.

Exemplo 1: O exemplo a seguir mostra o atributo [AllowAnonymous] no nível de classe substituindo um atributo [Authorize] definido no método. O método secretAction() não requer autorização apesar de ter o atributo [Authorize].

...
[AllowAnonymous]
public class Authorization_Test
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

Exemplo 2: O exemplo a seguir mostra o atributo [AllowAnonymous] no nível de classe de uma superclasse substituindo um atributo [Authorize] definido no método de uma subclasse. Como a classe herdada Inherit_AA tem o atributo [AllowAnonymous], o método secretAction() não requer autorização, apesar de especificar o atributo [Authorize].

...
[AllowAnonymous]
public abstract class Inherit_AA
{
    
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

Exemplo 3: A seguir é mostrado o atributo [AllowAnonymous] substituindo um atributo [Authorize] no nível do método com herança. Como o método herdado secretAction() tem o atributo [AllowAnonymous], o método secretAction() não requer autorização, apesar de especificar o atributo [Authorize] no método de substituição.

...
public abstract class Inherit_AA
{
    [AllowAnonymous]
    public abstract IActionResult secretAction()
    {
        
    }
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public override IActionResult secretAction()
    {
        
    }
}
...

APIs destinadas apenas para fins de depuração são usadas.

Vulnerabilidades de controle de acesso ocorrem quando um invasor pode acessar recursos restritos somente a usuários autorizados.

Por padrão, aplicativos Visualforce impõem automaticamente a segurança em nível de objeto (CRUD) e a segurança em nível de campo (FLS) quando os campos SObject e SObjects são usados. No entanto, se objetos e campos forem referenciados como tipos de dados genéricos, esses mecanismos não serão impostos, e verificações de controle de acesso precisarão ser implementadas programaticamente.

Exemplo 1: No exemplo de código a seguir, os campos são atualizados usando métodos setter personalizados e, portanto, exigem verificações de autorização.

<apex:page controller="accessControl">
  <apex:pageBlock >
    <apex:pageBlockSection >
      <apex:outputText value="Survey Name: "/>
      <apex:inputText value="{!surveyName}"/>
      </apex:pageBlockSection>
    <apex:pageBlockSection >
      <apex:outputText value="New Name: "/>
      <apex:inputText value="{!newSurveyName}"/>
    </apex:pageBlockSection>
      <apex:pageBlockSection >
      <apex:commandButton value="Update" action="{!updateName}"/>
    </apex:pageBlockSection>
  </apex:pageBlock>
</apex:page>

public String surveyName { get; set; }
public String newSurveyName { get; set; }
public PageReference updateName() {
  Survey__c s = [SELECT Name FROM Survey__c WHERE Name=:surveyName];

  s.Name = newSurveyName;
  update s;

  PageReference page = ApexPages.currentPage();            
  page.setRedirect(true);
  return page;
}

O aplicativo permite que um invasor controle as permissões concedidas a um bucket ou objeto do AWS S3. Isso permite que o invasor defina uma política fraca que possa permitir que eles leiam o conteúdo ou escrevam arquivos arbitrários.

Exemplo 1: O código a seguir cria um novo bucket usando uma Access Control Policy especificada pelo usuário.

    String canned_acl = request.getParameter("acl");

    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
        .bucket("foo")
        .acl(canned_acl)
        .createBucketConfiguration(CreateBucketConfiguration.builder().locationConstraint(region.id()).build())
        .build();

Mesmo que o aplicativo espere que o parâmetro acl seja selecionado em um conjunto limitado, um invasor pode defini-lo como public-read-write e conceder acesso anônimo completo ao bucket.

Erros de controle de acesso ao banco de dados ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são usados para especificar o nome do item em uma chamada de acesso SimpleDB.
Exemplo 1: O código a seguir opera em um banco de dados de faturas que recebem nomes de acordo com a data de suas transações. O programa primeiro autentica os clientes e depois permite que eles selecionem de uma lista de faturas anteriores.

...
String selectedInvoice = request.getParameter("invoiceDate");
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
GetAttributesResult sdbResult = sdbc.getAttributes(new GetAttributesRequest("invoices", selectedInvoice));
...

Embora o código no Example 1 gere uma lista de faturas que pertencem ao usuário atual, um invasor pode contornar esse comportamento para solicitar qualquer fatura desejada. Como o código neste exemplo não faz nenhuma verificação para garantir que o usuário tem permissão para acessar a fatura solicitada, ele exibirá qualquer fatura, mesmo que ela não pertença ao usuário atual.

Erros de controle de acesso ocorrem em consultas SQLite quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são utilizados para especificar o valor de uma chave primária em uma consulta SQLite.
Exemplo 1: O código a seguir usa uma instrução parametrizada, que escapa metacaracteres e impede vulnerabilidades de injeção de string de consulta, para construir e executar uma consulta SQLite que procura uma fatura correspondente a um identificador especificado pelo usuário.

  ...
  id = this.getIntent().getExtras().getInt("id");
  cursor = db.query(Uri.parse(invoices), columns, "id = ? ", {id}, null, null, null);
  ...
  

O problema é que o desenvolvedor não considerou todos os valores possíveis de id. Embora a consulta gere uma lista de identificadores de fatura que pertencem ao usuário atual, um invasor pode ignorar esse comportamento para solicitar qualquer fatura desejada. Como o código neste exemplo não garante que o usuário tenha permissão para acessar a fatura solicitada, ele exibirá qualquer fatura, mesmo que ela não pertença ao usuário atual.

A execução de consultas LDAP em uma associação anônima, efetivamente sem autenticação, pode permitir que um invasor abuse de um ambiente LDAP mal configurado.

Exemplo 1: O código a seguir cria DirContext ctx usando uma associação anônima.

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
...

Todas as consultas LDAP executadas com base em ctx serão realizadas sem autenticação e controle de acesso. Um invasor pode ser capaz de manipular uma dessas consultas de maneira inesperada para obter acesso a registros que, de outra forma, seriam protegidos pelo mecanismo de controle de acesso do diretório.

Controle de acesso: Problemas ao ignorar a autorização ocorrem quando:

1. Dados entram em um programa através de uma fonte não confiável.

2. Os dados controlados pelo usuário são transmitidos como um parâmetro para um método, fazendo com que esse método viole as verificações de autorização internas.
Exemplo 1: O seguinte código fornece um indicador controlado pelo usuário para um método que busca dados de funcionários:

    ...
	PARAMETERS: p_xfeld TYPE xfeld.
    ...
CALL FUNCTION 'BAPI_EMPLOYEE_GETDATA'
  EXPORTING
    employee_id      = emp_id
    authority_check  = p_xfeld
  IMPORTING
    return           = ret
  TABLES
    org_assignment   = org_data
    personal_data    = pers_data
    internal_control = con_data
    communication    = comm_data
    archivelink      = arlink. 
    ...

Se um invasor fornecer um espaço em branco para parâmetro p_xfeld, nenhuma verificação de autorização será realizada antes do retorno das informações pessoais e de contato de um funcionário.

Os erros de controle de acesso do Azure Cloud ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são utilizados para exibir/modificar/excluir filas/blobs não autorizadas e as respectivas mensagens/conteúdo.
Exemplo 1: O código a seguir exclui a fila especificada e a respectivas mensagens.

    ...
    var queueName = queryStringData['name'];
    var queueSvc;
    queueSvc = azureStorage.createQueueService();
    ...
    queueSvc.deleteQueue(queueName, option, function(error, response){
      if(!error){
          // all the messages has been deleted
      }
    });
    ...
    

Exemplo 2: O código a seguir exclui o contêiner blob especificado e o respectivo conteúdo.

    ...
    var containerName = queryStringData['name'];
    var blobSvc;
    blobSvc = azureStorage.createBlobService();
    ...
    blobSvc.deleteContainer(containerName, function (error, response) {
      if (!error) {
          // all the content in the given container has been deleted
      }
    });
    ...
    

Embora o código no Example 1 e no Example 2 exclua o contêiner da fila/blob especificado e as respectivas mensagens/conteúdo que pertencem ao usuário/programa atual, um invasor pode excluir qualquer fila/blob dessa conta Azure. Como o código nesse exemplo não realiza nenhuma verificação para garantir que o usuário/programa tenha permissão para limpar a fila/blob solicitado, ele limpará a fila/blob, mesmo que ela não pertença ao usuário/programa atual.

No Android, os nomes de pacotes diferenciam maiúsculas de minúsculas e, portanto, devem ser comparados de maneira diferenciada de maiúsculas e minúsculas. Um aplicativo malicioso pode compartilhar um pacote semelhante com letras maiúsculas diferentes, permitindo que ele ignore o controle de acesso.

Exemplo 1: O código a seguir executa uma comparação de sequência de caracteres insegura para fins de controle de acesso:

public boolean isTrusted(String paramString) {
 if (this._applicationContext.getPackageName().equalsIgnoreCase(paramString)) {
 return true;
}

Erros de controle de acesso ao banco de dados ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são utilizados para especificar o valor de uma chave primária em uma consulta SQL.
Exemplo 1: O código a seguir usa uma instrução parametrizada, que escapa metacaracteres e impede vulnerabilidades de SQL Injection, para construir e executar uma consulta SQL que procura uma fatura correspondente ao identificador especificado [1]. O identificador é selecionado de uma lista de todas as faturas associadas ao usuário autenticado atual.

...
id = Integer.decode(request.getParameter("invoiceID"));
String query = "SELECT * FROM invoices WHERE id = ?";
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();
...

O problema é que o desenvolvedor não considerou todos os valores possíveis de id. Embora a interface gere uma lista de identificadores de fatura que pertencem ao usuário atual, um invasor pode ignorar essa interface para solicitar qualquer fatura desejada. Como o código neste exemplo não faz nenhuma verificação para garantir que o usuário tem permissão para acessar a fatura solicitada, ele exibirá qualquer fatura, mesmo que ela não pertença ao usuário atual.

Algumas pessoas acham que, no mundo móvel, as vulnerabilidades clássicas de aplicativos Web, como erros de controle de acesso a bancos de dados, não fazem sentido -- por que um usuário atacaria a si mesmo? No entanto, lembre-se de que a essência das plataformas móveis são aplicativos que são baixados de várias fontes e executados lado a lado no mesmo dispositivo. A probabilidade de execução de um malware junto com um aplicativo de banco é alta, o que exige a expansão da superfície de ataque de aplicativos móveis de forma a incluir comunicações entre processos.

Exemplo 2: O código a seguir adapta o Example 1 à plataforma Android.

...
        String id = this.getIntent().getExtras().getString("invoiceID");
        String query = "SELECT * FROM invoices WHERE id = ?";
        SQLiteDatabase db = this.openOrCreateDatabase("DB", MODE_PRIVATE, null);
        Cursor c = db.rawQuery(query, new Object[]{id});
...

Várias estruturas modernas da Web fornecem mecanismos para realizar a validação de entradas do usuário (como o Struts e o Struts 2). Para destacar as fontes não validadas de entradas, os pacotes seguros de regras de codificação do Fortify estabelecem dinamicamente uma nova prioridade para os problemas que o Fortify Static Code Analyzer relata, diminuindo sua probabilidade de exploração e fornecendo ponteiros para as evidências sempre que o mecanismo de validação de estrutura estiver em uso. Chamamos esse recurso de Classificação Sensível ao Contexto. Para ajudar ainda mais o usuário do Fortify com o processo de auditoria, o Fortify Software Security Research Group disponibiliza o modelo de projeto de Validação de Dados, que agrupa os problemas em pastas com base no mecanismo de validação aplicado à respectiva fonte de entrada.

Os erros de controle de acesso DLI ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são utilizados para especificar o valor de uma chave primária em um comando EXEC DLI.
Exemplo 1: O código a seguir usa uma instrução parametrizada, que escapa metacaracteres e evita vulnerabilidades de injeção, para construir e executar um comando EXEC DLI que recupera uma fatura que corresponde ao identificador especificado. O identificador é selecionado de uma lista de todas as faturas associadas ao usuário autenticado atual.

...
ACCEPT ID.
EXEC DLI
  GU
  SEGMENT(INVOICES) 
  WHERE (INVOICEID = ID)
END-EXEC.
...

O problema é que o desenvolvedor não considerou todos os valores possíveis de ID. Embora a interface gere uma lista de identificadores de fatura que pertencem ao usuário atual, um invasor pode ignorar essa interface para solicitar qualquer fatura desejada. Como o código neste exemplo não faz nenhuma verificação para garantir que o usuário tem permissão para acessar a fatura solicitada, ele exibirá qualquer fatura, mesmo que ela não pertença ao usuário atual.

Por padrão, a autenticação de formulários ASP.NET valida as credenciais do usuário antes de passá-las para APIs nativas durante o processo de autenticação. O problema é que essa funcionalidade pode ser modificada usando a configuração aspnet:UseLegacyFormsAuthenticationTicketCompatibility para permitir que uma entrada não validada seja passada para as APIs nativas e pode fazer com que um invasor seja capaz de contornar a autenticação. Um invasor que explora com êxito esta vulnerabilidade seria capaz de ignorar a autenticação de formulários ASP.NET para qualquer nome de usuário conhecido sem sua senha. O invasor pode então realizar qualquer ação no contexto do usuário vítima, incluindo a execução de comandos arbitrários no site.

Exemplo 1: No exemplo a seguir, aspnet:UseLegacyFormsAuthenticationTicketCompatibility está definido como true.

...
  <appSettings>
    <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
  </appSettings>
...

A classe Metadata é frequentemente usada para armazenar dados de cabeçalho para um protocolo subjacente usado pelo Google Remote Procedure Call (gRPC). Ao implementar a classe io.grpc.ServerInterceptor, o objeto Metadata deve ser validado antes de passar para o próximo objeto io.grpc.ServerCallHandler. Especialmente quando o objeto Metadata tem identidade de chamador.

Exemplo 1: O seguinte código mostra dados controláveis pelo usuário usados como entrada para um objeto Metadata do gRPC que é não validado antes de passar para o próximo objeto io.grpc.ServerCallHandler:

class PotentialAuthByPassInterceptor implements ServerInterceptor {
    @Override
    public <ReqT, RespT> ServerCall.Listener<ReqT> interceptCall(ServerCall<ReqT, RespT> call, Metadata metadata, ServerCallHandler<ReqT, RespT> next) {
        return Contexts.interceptCall(Context.current(), call, metadata, next);
    }
}

Erros de controle de acesso ao banco de dados ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são usados para especificar um valor de dados em uma consulta LDAP.
Exemplo 1: A ID de funcionário do usuário atual autenticado é enviada automaticamente com cada solicitação pela interface no lado do cliente. O código a seguir valida corretamente uma ID de funcionário como um inteiro antes de usá-lo para construir uma consulta LDAP. Essa validação impede vulnerabilidades de injeção de LDAP, mas ainda pode deixar o código vulnerável.

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);

String empID = request.getParameter("empID");

try
{
  int id = Integer.parseInt(empID);

  BasicAttribute attr = new BasicAttribute("empID", empID);

  NamingEnumeration employee =
            ctx.search("ou=People,dc=example,dc=com",attr);
...

O problema é que o desenvolvedor não considerou o que aconteceria se um invasor fornecesse valores alternativos de empID. Embora a interface envie automaticamente a ID de funcionário do usuário atual, um invasor pode enviar um valor alternativo como parte de uma solicitação mal-intencionada. Como o código nesse exemplo executa a consulta sob uma associação anônima, ele retornará a entrada de diretório de qualquer ID de funcionário válida, independentemente da identidade do usuário autenticado atual.

Sempre que um usuário inicia manualmente uma nova transação, o sistema SAP verifica automaticamente se ele está autorizado a executar essa transação. No entanto, essas verificações não são feitas por padrão quando um usuário inicia programaticamente uma nova transação chamando a instrução CALL TRANSACTION. Se não for feita uma verificação de autorização explícita antes dessa instrução, o usuário que executar o programa ABAP será capaz de iniciar uma transação que, de outra forma, não seria permitida.

Exemplo 1: O código a seguir chama uma transação capaz de executar qualquer programa ABAP.

...
CALL TRANSACTION 'SA38'.
...

Nesse caso, um usuário de outra forma não autorizado que estiver executando o código poderá iniciar qualquer programa ABAP, podendo assim obter o controle total do sistema.

Se um invasor puder fornecer valores que o aplicativo, em seguida, usa para determinar quais tipos de verificação de autorização devem ser realizadas na abertura de um objeto MQ, existe a possibilidade de que um invasor passe todas as verificações de controle de acesso ao tentar abrir um objeto que, de outra forma, seria inacessível.

Exemplo: O seguinte trecho de código COBOL lê os valores do terminal e os usa para controlar os campos MQOD-ALTERNATEUSERID e MQOD-ALTERNATESECURITYID do descritor do objeto MQ.

...
10 MQOD.
**    Alternate user identifier
   15 MQOD-ALTERNATEUSERID     PIC X(12).
**    Alternate security identifier
   15 MQOD-ALTERNATESECURITYID PIC X(40).
   ...
...
ACCEPT MQOD-ALTERNATEUSERID.
ACCEPT MQOD-ALTERNATESECURITYID.
CALL 'MQOPEN' USING HCONN, MQOD, OPTS, HOBJ, COMPOCODE REASON.
... 

Nesse exemplo, um invasor pode fornecer valores que permitem que ele passe pelas verificações de controle de acesso no objeto MQ sendo aberto.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais.

Normalmente, as verificações de autorização em um aplicativo SAP são feitas para o usuário que executa o aplicativo (usuário conectado). No entanto, é possível verificar a autorização para outro usuário (diferente do usuário conectado) programaticamente das seguintes maneiras:
1. A instrução AUTHORITY-CHECK é usada junto com a adição FOR USER
2. O módulo de função AUTHORITY_CHECK é chamado com o usuário especificado
3. O módulo de função SU_RAUTH_CHECK_FOR_USER é chamado com o usuário especificado

Embora essas verificações possam ser necessárias de vez em quando, muitas vezes elas representam um risco de segurança relacionado à escalação de privilégios. Um usuário mal-intencionado com controle sobre a entrada "user id", com base na qual são realizadas verificações de autorização, será capaz de enganar o sistema e fazer com que este conceda um nível de acesso que de outra forma seria proibido para esse usuário. Para tanto, o usuário fornece um superusuário conhecido (como SAP* ou DDIC, por exemplo).

Mesmo nos casos em que um usuário não tem controle direto sobre a entrada "user id" usada para verificações de autorização, a sondagem da autorização para um usuário diferente é considerada uma prática imprópria, devendo assim ser evitada. O usuário conectado (sy-uname) não precisa ser explicitamente especificado ao realizar verificações de autorização. Esse é o comportamento padrão - especificá-lo explicitamente apenas abre as portas para explorações nas quais sy-uname pode ser manipulado antes que a verificação chegue a ser executada. Portanto, é uma boa ideia ignorar a verificação de autorizações para um usuário diferente em geral e a especificação explícita do usuário conectado em particular.

Exemplo 1: O código a seguir verifica autorizações de usuários antes de chamar uma transação capaz de executar qualquer programa ABAP.

...
AUTHORITY-CHECK OBJECT 'S_TCODE' FOR USER v_user
ID 'TCD' FIELD 'SA38'.
IF sy-subrc = 0.
CALL TRANSACTION 'SA38'.
ELSE.
...

Nesse caso, um usuário de outra forma não autorizado poderá iniciar qualquer programa ABAP fornecendo um superusuário conhecido (como *SAP * ou DDIC) à variável v_user.

APIs Java que realizam tarefas usando a verificação do carregador de classes do chamador imediato devem ser usadas com cautela. Essas APIs ignoram a verificação de SecurityManager que garante que todos os chamadores na cadeia de execução tenham recebido a permissão de segurança necessária. Verificações de acesso com base apenas no carregador de classes do chamador imediato podem resultar em problemas de escalação de privilégios, segundo os quais um chamador na cadeia de execução é capaz de acessar recursos sem as permissões necessárias. Portanto, essas APIs não devem ser invocadas em nome de um código não confiável, pois isso pode comprometer a segurança do sistema.



Applets Java de uma fonte não confiável ou em um ambiente não confiável com acesso a essas APIs podem executar código mal-intencionado e comprometer a segurança do sistema.

Os aplicativos Salesforce usam regras de compartilhamento para controlar as permissões do usuário e o acesso aos registros do banco de dados. No entanto, as regras de compartilhamento do usuário nem sempre são aplicadas no Apex porque as classes do Apex podem ser declaradas com diferentes palavras-chave de compartilhamento que alteram a forma como as regras são aplicadas. Uma classe pode ser declarada com uma das três palavras-chave de compartilhamento diferentes:

- with sharing: As regras de compartilhamento do usuário serão aplicadas.
- without sharing: As regras de compartilhamento não serão aplicadas.
- inherited sharing: As regras de compartilhamento da classe de chamada serão aplicadas. Quando a classe de chamada não especificar uma palavra-chave de compartilhamento ou quando a própria classe for um ponto de entrada, como um controlador do Visualforce, as regras de compartilhamento do usuário serão impostas por padrão.

Quando nenhuma das palavras-chave de compartilhamento for declarada, a classe herdará o modo de compartilhamento da classe de chamada, se houver. Caso contrário, as regras de compartilhamento não serão aplicadas.

Exemplo 1: As três classes do Apex a seguir têm palavras-chave de compartilhamento não seguras para suas chamadas de consulta de banco de dados.

    public class TestClass1 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public without sharing class TestClass2 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public inherited sharing class TestClass3 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

TestClass1 e TestClass2 não são seguros porque os registros podem ser recuperados sem a imposição de regras de compartilhamento do usuário.

TestClass3 é mais seguro porque impõe regras de compartilhamento por padrão. No entanto, o acesso não autorizado ainda poderá ser concedido se a função getAllTheSecrets() for chamada em uma classe que declarar explicitamente without sharing.