A menudo, las restricciones sobre lo que un usuario autenticado está autorizado a hacer están ausentes o no se implementan correctamente.
Un atacante podría explotar estas debilidades para acceder a funcionalidades no autorizadas y a datos a los que no tiene derecho a acceder.
Por ejemplo, podría ser posible acceder a las cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios o incluso cambiar sus derechos de acceso.
| OWASP Top 10 Application Security Risks - 2017 | Referencia |
|---|---|
| A5:2017-Broken Access Control | OWASP |
Una vez identificado el usuario, es necesario alinear la aplicación con las Lógicas de Negocio y el principio de Necesidad de Conocer.
Cada acción individual debe considerar:
1. el usuario que llama; 2. los datos accedidos; 3. el tipo de operación.
Se debe tener en cuenta no solo el rol del usuario, sino también la propiedad o no del usuario respecto al dato y, en segundo lugar, el tipo de acción respecto al dato.Francesco Ongaro
