Анна Куренова — Broken access control через уязвимости бизнес-логики скачать в хорошем качестве

Анна Куренова — Broken access control через уязвимости бизнес-логики

Подробнее о конференции Heisenbug: https://jrg.su/xC2gbh — — Скачать презентацию с сайта — https://jrg.su/4xgUA2 Уязвимости класса Broken Access Control (BAC) постоянно занимают лидирующие позиции в рейтинге OWASP Top 10. В 2022 году я уже делала мастер-класс «Поиск уязвимостей IDOR (BOLA)» [https://heisenbug.ru/archive/2022%20A...], посвященный этой теме. В этот раз хочу затронуть проблемы гораздо глубже, чем простые ошибки в реализации авторизации. Этот доклад посвящен менее очевидной, но крайне опасной категории угроз — Broken Access Control, возникающему из-за недостатков в самой бизнес-логике приложений. Рассмотрим на примерах из багбаунти и реальных проектах, какие проблемы бизнес-логики приводят к BAC. Среди них: Дефолтные права; Интеграция; Автопродление; Коллизии прав доступа; Отобрали права; Проблемы последовательности; Обработки ошибок Цель доклада — научить мыслить «как хакер», выявляя скрытые логические цепочки, которые могут быть эксплуатированы для нарушения контроля доступа. Надеюсь, после моего мастер-класса команды разработки будут задумываться о разобранных проблемах в своих приложениях.