2017-06-21

Juni 2017 - OWASP Top Ten - A4 Insecure Direct Object References

OWASP står för The Open Web Application Security Project och är en öppen global organisation som arbetar för säkerhet i mjukvaruapplikationer, främst webbapplikationer.
OWASP Top Ten listar de mest kritiska säkerhetsproblemen för webbapplikationer.

A4 Insecure Direct Object References

Sårbarheten orsakas av att dataaccess inte är skyddad då den behöver vara det.
Exempel: För att få fram sin kontoinformation på en webbplats surfar man till adressen: http://example.com/accountInfo?user=my_username
Tanken var att man skulle vara inloggad för att komma åt den sidan, men genom att ändra adressen till http://example.com/accountInfo?user=other_username så kommer man åt all information för en annan användare. Det saknas alltså kontroll av vem som får tillgång till den sidan.

Hur skyddar man sig?
Enklaste sättet är att man kontrollerar att användaren har rätt behörighet för att accessa begärd resurs. Ett annat sätt är att inte använda det verkliga namnet på en nyckel eller objekt i requesten.


System och tjänster som uppdaterats sedan förra uppdateringen: