{"id":476115,"date":"2023-08-09T07:25:33","date_gmt":"2023-08-09T07:25:33","guid":{"rendered":""},"modified":"2023-09-05T11:12:01","modified_gmt":"2023-09-05T11:12:01","slug":"broken-access-control","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/pt\/wiki\/broken-access-control\/","title":{"rendered":"Controle de acesso quebrado"},"content":{"rendered":"

O controle de acesso quebrado \u00e9 uma vulnerabilidade cr\u00edtica de seguran\u00e7a que ocorre quando um aplicativo ou sistema n\u00e3o consegue impor restri\u00e7\u00f5es adequadas sobre o que os usu\u00e1rios podem acessar. Esta vulnerabilidade permite que usu\u00e1rios n\u00e3o autorizados obtenham acesso a informa\u00e7\u00f5es confidenciais, executem a\u00e7\u00f5es que n\u00e3o deveriam ser permitidas ou aumentem seus privil\u00e9gios no sistema. \u00c9 uma falha de seguran\u00e7a generalizada que pode ter consequ\u00eancias graves, tornando essencial que as organiza\u00e7\u00f5es abordem e mitiguem tais problemas prontamente.<\/p>\n

A hist\u00f3ria do controle de acesso quebrado e sua primeira men\u00e7\u00e3o<\/h2>\n

O conceito de controle de acesso quebrado tem sido uma preocupa\u00e7\u00e3o desde os prim\u00f3rdios dos sistemas de computador. \u00c0 medida que mais aplica\u00e7\u00f5es e websites foram desenvolvidos, a quest\u00e3o dos controlos de acesso aplicados indevidamente tornou-se mais evidente. Foi formalmente identificado pela primeira vez como um risco de seguran\u00e7a no Open Web Application Security Project (OWASP) Top Ten Project, que visa destacar os riscos de seguran\u00e7a de aplica\u00e7\u00f5es web mais cr\u00edticos. Na lista dos dez principais da OWASP, o controle de acesso quebrado ocupa uma posi\u00e7\u00e3o consistentemente elevada devido ao seu grave impacto na seguran\u00e7a das aplica\u00e7\u00f5es.<\/p>\n

Informa\u00e7\u00f5es detalhadas sobre controle de acesso quebrado<\/h2>\n

O controle de acesso quebrado ocorre quando faltam verifica\u00e7\u00f5es e valida\u00e7\u00f5es adequadas para garantir que os usu\u00e1rios possam acessar apenas os recursos que est\u00e3o autorizados a usar. Esta vulnerabilidade pode surgir de diversas fontes, como mecanismos de controle de acesso mal projetados, configura\u00e7\u00f5es incorretas ou at\u00e9 mesmo erros de codifica\u00e7\u00e3o. Algumas manifesta\u00e7\u00f5es comuns de controle de acesso quebrado incluem:<\/p>\n

    \n
  1. \n

    Escala\u00e7\u00e3o vertical de privil\u00e9gios<\/strong>: usu\u00e1rios n\u00e3o autorizados obt\u00eam acesso a n\u00edveis de privil\u00e9gios mais elevados do que deveriam, permitindo-lhes executar a\u00e7\u00f5es reservadas a administradores ou usu\u00e1rios privilegiados.<\/p>\n<\/li>\n

  2. \n

    Escala\u00e7\u00e3o horizontal de privil\u00e9gios<\/strong>: usu\u00e1rios n\u00e3o autorizados obt\u00eam acesso a recursos que s\u00f3 deveriam ser acess\u00edveis a outros usu\u00e1rios espec\u00edficos com privil\u00e9gios semelhantes.<\/p>\n<\/li>\n

  3. \n

    Refer\u00eancias diretas a objetos<\/strong>: quando um aplicativo usa refer\u00eancias diretas a objetos internos, os invasores podem manipular par\u00e2metros para acessar recursos que n\u00e3o deveriam poder acessar.<\/p>\n<\/li>\n

  4. \n

    Refer\u00eancias de objetos diretos inseguros<\/strong>: o aplicativo exp\u00f5e refer\u00eancias de objetos internos, como URLs ou chaves, que podem ser manipuladas diretamente por invasores para acessar recursos n\u00e3o autorizados.<\/p>\n<\/li>\n<\/ol>\n

    A estrutura interna do controle de acesso quebrado e como funciona<\/h2>\n

    O controle de acesso quebrado surge de falhas no projeto e implementa\u00e7\u00e3o de mecanismos de controle de acesso. Esses sistemas normalmente dependem de um conjunto de regras e permiss\u00f5es que determinam quais a\u00e7\u00f5es cada usu\u00e1rio ou grupo pode executar. Quando estas regras n\u00e3o s\u00e3o aplicadas corretamente ou quando existem lacunas nas regras, os atacantes podem explorar estas fraquezas para contornar os controlos de acesso.<\/p>\n

    Por exemplo, um mecanismo de controle de acesso mal projetado pode usar padr\u00f5es previs\u00edveis ou par\u00e2metros facilmente previs\u00edveis, permitindo que invasores acessem recursos restritos modificando par\u00e2metros de URL ou dados de sess\u00e3o. Al\u00e9m disso, a falta de verifica\u00e7\u00f5es adequadas de autentica\u00e7\u00e3o e autoriza\u00e7\u00e3o pode levar ao acesso n\u00e3o autorizado a dados sens\u00edveis ou a funcionalidades administrativas.<\/p>\n

    An\u00e1lise dos principais recursos do controle de acesso quebrado<\/h2>\n

    Os principais recursos do controle de acesso quebrado incluem:<\/p>\n

      \n
    1. \n

      Escala\u00e7\u00e3o de privil\u00e9gios<\/strong>: os invasores podem aumentar seus privil\u00e9gios al\u00e9m do n\u00edvel pretendido, obtendo acesso n\u00e3o autorizado a dados e funcionalidades confidenciais.<\/p>\n<\/li>\n

    2. \n

      Refer\u00eancias de objetos diretos inseguros<\/strong>: os invasores manipulam refer\u00eancias de objetos para acessar recursos n\u00e3o autorizados diretamente.<\/p>\n<\/li>\n

    3. \n

      Valida\u00e7\u00e3o inadequada<\/strong>: a falta de valida\u00e7\u00e3o de entrada adequada pode levar ao acesso n\u00e3o autorizado aos recursos.<\/p>\n<\/li>\n

    4. \n

      Ignorando os controles de acesso<\/strong>: os invasores podem encontrar maneiras de contornar as verifica\u00e7\u00f5es de autentica\u00e7\u00e3o e autoriza\u00e7\u00e3o, permitindo-lhes acessar \u00e1reas restritas.<\/p>\n<\/li>\n<\/ol>\n

      Tipos de controle de acesso quebrado<\/h2>\n

      O controle de acesso quebrado pode ser categorizado em v\u00e1rios tipos com base nas vulnerabilidades espec\u00edficas e no seu impacto. A tabela a seguir resume alguns tipos comuns de controle de acesso quebrado:<\/p>\n\n\n\n\n\n\n\n\n\n\n
      Tipo<\/th>\nDescri\u00e7\u00e3o<\/th>\n<\/tr>\n<\/thead>\n
      Escala\u00e7\u00e3o vertical de privil\u00e9gios<\/td>\nUsu\u00e1rios n\u00e3o autorizados ganham privil\u00e9gios mais elevados, levando a um poss\u00edvel comprometimento do sistema.<\/td>\n<\/tr>\n
      Escala\u00e7\u00e3o horizontal de privil\u00e9gios<\/td>\nUsu\u00e1rios n\u00e3o autorizados acessam recursos de outros usu\u00e1rios com o mesmo n\u00edvel de privil\u00e9gio.<\/td>\n<\/tr>\n
      Refer\u00eancias de objetos diretos inseguros<\/td>\nOs invasores acessam diretamente os recursos modificando URLs ou outros par\u00e2metros.<\/td>\n<\/tr>\n
      Controle de acesso de n\u00edvel de fun\u00e7\u00e3o ausente<\/td>\nVerifica\u00e7\u00f5es inadequadas no aplicativo permitem acesso a fun\u00e7\u00f5es ou terminais que deveriam ser restritos.<\/td>\n<\/tr>\n
      Navega\u00e7\u00e3o For\u00e7ada<\/td>\nOs invasores enumeram e acessam recursos criando URLs manualmente.<\/td>\n<\/tr>\n
      Configura\u00e7\u00e3o insegura<\/td>\nDefini\u00e7\u00f5es de configura\u00e7\u00e3o fracas ou incorretas levam ao acesso n\u00e3o autorizado.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

      Maneiras de usar controle de acesso quebrado, problemas e solu\u00e7\u00f5es<\/h2>\n

      Maneiras de usar controle de acesso quebrado<\/h3>\n

      Os invasores podem explorar o controle de acesso quebrado de v\u00e1rias maneiras:<\/p>\n

        \n
      1. \n

        Acesso n\u00e3o autorizado a dados<\/strong>: os invasores podem obter acesso a dados confidenciais de usu\u00e1rios, informa\u00e7\u00f5es financeiras ou registros pessoais que devem ser protegidos.<\/p>\n<\/li>\n

      2. \n

        Aquisi\u00e7\u00e3o de conta<\/strong>: ao explorar controles de acesso quebrados, os invasores podem assumir o controle de contas de usu\u00e1rios e se passar por usu\u00e1rios leg\u00edtimos.<\/p>\n<\/li>\n

      3. \n

        Escala\u00e7\u00e3o de privil\u00e9gios<\/strong>: os invasores elevam seus privil\u00e9gios para executar a\u00e7\u00f5es reservadas a administradores ou usu\u00e1rios privilegiados.<\/p>\n<\/li>\n<\/ol>\n

        Problemas relacionados ao controle de acesso quebrado<\/h3>\n
          \n
        1. \n

          Viola\u00e7\u00f5es de dados<\/strong>: O controle de acesso quebrado pode levar a viola\u00e7\u00f5es de dados, resultando em danos \u00e0 reputa\u00e7\u00e3o e poss\u00edveis consequ\u00eancias legais.<\/p>\n<\/li>\n

        2. \n

          Perda financeira<\/strong>: Os ataques que exploram o controlo de acesso quebrado podem levar a perdas financeiras devido a transa\u00e7\u00f5es fraudulentas ou acesso n\u00e3o autorizado a servi\u00e7os pagos.<\/p>\n<\/li>\n

        3. \n

          Conformidade regulat\u00f3ria<\/strong>: As organiza\u00e7\u00f5es que n\u00e3o conseguem lidar com o controle de acesso quebrado podem enfrentar problemas de conformidade, especialmente em setores com regulamenta\u00e7\u00f5es r\u00edgidas de prote\u00e7\u00e3o de dados.<\/p>\n<\/li>\n<\/ol>\n

          Solu\u00e7\u00f5es para controle de acesso quebrado<\/h3>\n

          Lidar com o controle de acesso quebrado requer uma abordagem abrangente para proteger o desenvolvimento de aplica\u00e7\u00f5es web:<\/p>\n

            \n
          1. \n

            Implementar autentica\u00e7\u00e3o e autoriza\u00e7\u00e3o fortes<\/strong>: use m\u00e9todos de autentica\u00e7\u00e3o seguros, como autentica\u00e7\u00e3o multifator, e implemente verifica\u00e7\u00f5es de autoriza\u00e7\u00e3o adequadas para limitar o acesso dos usu\u00e1rios aos recursos necess\u00e1rios.<\/p>\n<\/li>\n

          2. \n

            Aplicar o Princ\u00edpio do Menor Privil\u00e9gio<\/strong>: conceda aos usu\u00e1rios o n\u00edvel m\u00ednimo de privil\u00e9gios necess\u00e1rios para executar suas tarefas, reduzindo o impacto de poss\u00edveis viola\u00e7\u00f5es.<\/p>\n<\/li>\n

          3. \n

            Use controle de acesso baseado em fun\u00e7\u00e3o (RBAC)<\/strong>: utilize o RBAC para atribuir permiss\u00f5es com base em fun\u00e7\u00f5es predefinidas, simplificando o gerenciamento de acesso e reduzindo o risco de erros.<\/p>\n<\/li>\n

          4. \n

            Refer\u00eancias diretas seguras a objetos<\/strong>: evite expor refer\u00eancias de objetos internos e use refer\u00eancias indiretas ou t\u00e9cnicas criptogr\u00e1ficas para evitar manipula\u00e7\u00e3o.<\/p>\n<\/li>\n<\/ol>\n

            Principais caracter\u00edsticas e compara\u00e7\u00f5es com termos semelhantes<\/h2>\n\n\n\n\n\n\n\n\n\n\n
            Prazo<\/th>\nDescri\u00e7\u00e3o<\/th>\n<\/tr>\n<\/thead>\n
            Controle de acesso quebrado<\/td>\nUma vulnerabilidade de seguran\u00e7a onde os usu\u00e1rios podem acessar recursos al\u00e9m de suas permiss\u00f5es autorizadas.<\/td>\n<\/tr>\n
            Refer\u00eancias de objetos diretos inseguros<\/td>\nUm tipo espec\u00edfico de controle de acesso quebrado onde os invasores manipulam refer\u00eancias de objetos para acessar recursos restritos.<\/td>\n<\/tr>\n
            Escala\u00e7\u00e3o de privil\u00e9gios<\/td>\nO ato de obter privil\u00e9gios mais elevados do que o pretendido, muitas vezes resultante de um controle de acesso quebrado.<\/td>\n<\/tr>\n
            Controle de acesso<\/td>\nO processo de concess\u00e3o ou nega\u00e7\u00e3o de permiss\u00f5es espec\u00edficas a usu\u00e1rios ou grupos para acessar recursos.<\/td>\n<\/tr>\n
            Autentica\u00e7\u00e3o<\/td>\nVerificar a identidade dos usu\u00e1rios para conceder acesso com base em credenciais.<\/td>\n<\/tr>\n
            Autoriza\u00e7\u00e3o<\/td>\nConceder privil\u00e9gios ou permiss\u00f5es espec\u00edficos a usu\u00e1rios autenticados com base em suas fun\u00e7\u00f5es ou atributos.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

            Perspectivas e tecnologias do futuro relacionadas ao controle de acesso quebrado<\/h2>\n

            \u00c0 medida que a tecnologia evolui, surgir\u00e3o novas abordagens para combater o controlo de acesso quebrado. \u00c9 prov\u00e1vel que as organiza\u00e7\u00f5es adotem mecanismos e t\u00e9cnicas de controle de acesso mais avan\u00e7ados para garantir uma seguran\u00e7a robusta:<\/p>\n

              \n
            1. \n

              Arquitetura de confian\u00e7a zero<\/strong>: Os modelos de seguran\u00e7a de confian\u00e7a zero ganhar\u00e3o popularidade, onde as decis\u00f5es de controle de acesso s\u00e3o baseadas em avalia\u00e7\u00f5es em tempo real de v\u00e1rios fatores de risco, em vez de depender apenas da autentica\u00e7\u00e3o do usu\u00e1rio.<\/p>\n<\/li>\n

            2. \n

              Autentica\u00e7\u00e3o Biom\u00e9trica<\/strong>: A autentica\u00e7\u00e3o biom\u00e9trica pode se tornar mais predominante, oferecendo um n\u00edvel mais alto de seguran\u00e7a ao verificar os usu\u00e1rios com base em caracter\u00edsticas f\u00edsicas exclusivas.<\/p>\n<\/li>\n

            3. \n

              Aprendizado de m\u00e1quina para controle de acesso<\/strong>: Algoritmos de aprendizado de m\u00e1quina podem ser integrados em sistemas de controle de acesso para identificar e prevenir comportamentos an\u00f4malos e poss\u00edveis viola\u00e7\u00f5es de controle de acesso.<\/p>\n<\/li>\n<\/ol>\n

              Como os servidores proxy podem ser usados ou associados a controle de acesso quebrado<\/h2>\n

              Os servidores proxy podem desempenhar um papel na mitiga\u00e7\u00e3o dos riscos de controle de acesso quebrado, agindo como intermedi\u00e1rios entre os clientes e o back-end do site. Os servidores proxy podem impor controles de acesso e filtrar solicita\u00e7\u00f5es recebidas, bloqueando aquelas que violam as regras definidas.<\/p>\n

              No entanto, se o pr\u00f3prio servidor proxy n\u00e3o estiver configurado ou protegido adequadamente, poder\u00e1 introduzir problemas adicionais de controle de acesso. Configura\u00e7\u00f5es incorretas ou vulnerabilidades no servidor proxy podem permitir que invasores contornem os controles de acesso e obtenham acesso n\u00e3o autorizado aos recursos.<\/p>\n

              Os administradores do site devem garantir que o servidor proxy seja implementado corretamente, configurado corretamente e mantido regularmente para evitar vulnerabilidades de seguran\u00e7a n\u00e3o intencionais.<\/p>\n

              Links Relacionados<\/h2>\n

              Para obter mais informa\u00e7\u00f5es sobre controle de acesso quebrado e seguran\u00e7a de aplicativos da web, os seguintes recursos podem ser \u00fateis:<\/p>\n