All posts in “missing function level access control”

OWASP Νο7 – Μη επιβεβαίωση δικαιωμάτων χρηστών που κάνουν αιτήματα στην εφαρμογή

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή έχουμε αισίως φτάσει στην έβδομη θέση των συνηθέστερων αδυναμιών όπου παρουσιάζεται η ελλιπής επιβεβαίωση δικαιωμάτων χρήστη που θέτει αίτημα στην διαδικτυακή εφαρμογή. Οι διαδικτυακές εφαρμογές στις μέρες μας είναι ιδιαίτερα πολύπλοκα δημιουργήματα που καλούνται να αποδώσουν διαφορετικά δικαιώματα δράσης στους χρήστες τους. Παρότι πολλαπλές ιεραρχίες δικαιωμάτων μπορούν να υπάρχουν ακόμα και στην ίδια εφαρμογή, στο προκείμενο θα θεωρήσουμε την απλουστευμένη υπόθεση όπου ο ένας χρήστης έχει Continue Reading…

Share This: