Broken access control deutsch
Brian es el responsable de seguridad física de una organización de alojamiento de centros de datos. Al entrar en el edificio esta mañana, se ha dado cuenta de que un empleado ha utilizado su tarjeta de identificación para entrar en el edificio y después ha mantenido la puerta abierta para otros dos empleados. ¿Cuál de las siguientes situaciones se ha producido?
Este es un ejemplo clásico de un ataque a cuestas en el que una persona entra en una instalación física y luego mantiene la puerta abierta para que otros entren sin exigir que también utilicen el sistema de control de acceso. En un ataque de búsqueda en contenedores, los individuos rebuscan en la basura en busca de información sensible. En un ataque «shoulder surfing», el agresor mira por encima del hombro de una persona mientras ésta utiliza un ordenador. No hay indicios de que los individuos que entraron en el edificio sin autenticarse estuvieran haciendo declaraciones falsas de identidad, por lo que no hay pruebas de un ataque de suplantación de identidad.
Herramienta Owasp
5 preguntas6 preguntas7 preguntas8 preguntas9 preguntas10 preguntas11 preguntas12 preguntas13 preguntas14 preguntas15 preguntas16 preguntas17 preguntas18 preguntas19 preguntas20 preguntas21 preguntas22 preguntas23 preguntas24 preguntas25 preguntas26 preguntas27 preguntas28 preguntas29 preguntas30 preguntas31 preguntas32 preguntas33 preguntas34 preguntas35 preguntas36 preguntas37 preguntas38 preguntas39 preguntas40 preguntas41 preguntas42 preguntas43 preguntas44 preguntas45 preguntas46 preguntas47 preguntas48 preguntas49 preguntas50 preguntas51 preguntas52 preguntas53 preguntas54 preguntas55 preguntas56 preguntas57 preguntas58 preguntas59 preguntas60 preguntas61 preguntas62 preguntas63 preguntas64 preguntas65 preguntas66 preguntas67 preguntas68 preguntas69 preguntas70 preguntas71 preguntas72 preguntas73 preguntas74 preguntas75 preguntas76 preguntas77 preguntas78 preguntas79 preguntas80 preguntas81 preguntas82 preguntas83 preguntas84 preguntas
Owasp zap tutorial
En esta sección, discutiremos qué es la seguridad de control de acceso, describiremos la escalada de privilegios y los tipos de vulnerabilidades que pueden surgir con el control de acceso, y resumiremos cómo prevenir estas vulnerabilidades.
Si ya estás familiarizado con los conceptos básicos detrás de las vulnerabilidades de control de acceso y sólo quieres practicar explotándolas en algunos objetivos realistas y deliberadamente vulnerables, puedes acceder a todos los laboratorios de este tema desde el siguiente enlace.
El control de acceso (o autorización) es la aplicación de restricciones sobre quién (o qué) puede realizar las acciones intentadas o acceder a los recursos que han solicitado. En el contexto de las aplicaciones web, el control de acceso depende de la autenticación y la gestión de sesiones:
Con controles de acceso verticales, distintos tipos de usuarios tienen acceso a distintas funciones de la aplicación. Por ejemplo, un administrador puede modificar o eliminar la cuenta de cualquier usuario, mientras que un usuario normal no tiene acceso a estas acciones. Los controles de acceso verticales pueden ser implementaciones más precisas de modelos de seguridad diseñados para aplicar políticas empresariales como la separación de funciones y el mínimo privilegio.
Zap en diez
Tina está implementando una solución de control de acceso a la red para una red abierta de invitados. Le gustaría utilizar un enfoque que no requiera la instalación de software en los sistemas que se unan a la red, pero que pueda limitarlos a una red en cuarentena hasta que superen satisfactoriamente una comprobación de estado. ¿Qué solución NAC se adaptaría mejor a sus necesidades?
Los portales cautivos son sitios web a los que se redirigen los sistemas no validados hasta que completan el proceso de admisión. Por lo tanto, se trata de un enfoque en línea, lo que significa que el portal cautivo es la mejor solución para Tina. El uso de un enfoque fuera de banda, o basado en agentes, requeriría la instalación de software en el dispositivo, violando uno de los requisitos. NAC post-admisión permitiría el sistema en la red y sólo lo bloquearía si mostrara un comportamiento sospechoso, no cumpliendo el requisito básico del escenario.