Chanzo: www.hackerone.com – Mwandishi: Sandeep Singh. Ripoti ya 8 ya Usalama ya Kila Mwaka ya HackerOne inasema kwamba udhibiti usiofaa wa ufikiaji ni hatari ya pili kwa kawaida kuripotiwa katika fadhila ya hitilafu na nambari ya tatu kuripotiwa katika pentest. Inafanya asilimia 9 ya aina zote za athari zinazogunduliwa kwenye mfumo wa HackerOne. Licha ya kuzingatiwa kama aina ya uwezekano wa kuathiriwa na “matunda yanayoning’inia kidogo”, udhibiti usiofaa wa ufikiaji unaweza kuathiri kwa kiasi kikubwa shirika, ikiwa ni pamoja na ukiukaji wa data na wizi, usumbufu wa mfumo, hatari ya watu wengine, uharibifu wa kifedha na athari za kisheria/kutii. Hebu tuangalie kwa karibu zaidi udhibiti usiofaa wa ufikiaji – ni nini, unatumiwaje, na jinsi ya kuurekebisha. Udhibiti Usiofaa wa Ufikiaji ni Nini? Vidhibiti vya ufikiaji ni hatua za usalama zinazodhibiti ufikiaji wa mfumo, data yake na ruhusa za mtumiaji. Wanafafanua nani anaweza kufikia nini. Hatua hizi zinafaa katika kategoria tatu: Uthibitishaji: Kuthibitisha utambulisho wa mtumiaji. Uidhinishaji: Kuthibitisha mtumiaji kunafaa kuruhusiwa kufikia data au rasilimali mahususi. Ukaguzi: Kufuatilia na kuweka kumbukumbu ni hatua gani mtumiaji amechukua. Udhibiti usiofaa wa ufikiaji hurejelea masuala yanayotokea wakati vikwazo vya ufikiaji wa mfumo au data havijatekelezwa ipasavyo, kuruhusu ufikiaji usioidhinishwa. Udhibiti usiofaa wa ufikiaji unaweza kujitokeza kwa njia nyingi tofauti, ikiwa ni pamoja na: Sheria za ufikiaji ambazo zinaruhusu sana, kuruhusu ufikiaji zaidi ya kile kinachohitajika kwa madhumuni halali Ukosefu wa mahitaji ya uthibitishaji, kuruhusu mtu yeyote kufikia bila kuthibitisha utambulisho Mipangilio chaguomsingi isiyo salama ambayo inaruhusu ufikiaji zaidi kuliko ilivyokusudiwa. kuzuia ufikiaji kulingana na majukumu, kuruhusu watumiaji wa kiwango cha chini kufikia vitendaji vilivyobahatika Kuzuia ufikiaji ipasavyo wakati hauhitajiki tena, kuruhusu wafanyikazi/watumiaji wa zamani. ili kupata ufikiaji wa mifumo bado Kipengele muhimu ni kwamba vidhibiti vya ufikiaji visivyofaa vinaleta udhaifu kwa kuruhusu watumiaji wasioidhinishwa kufikia mifumo au data ambayo hawapaswi kufikia kulingana na sera. Udhibiti sahihi wa ufikiaji unapaswa kufuata kanuni ya upendeleo mdogo, kuwa na vizuizi katika kutoa ufikiaji, na kuwa mwangalifu kuhusu ubatilishaji. Athari za Biashara za Udhibiti Usiofaa wa Ufikiaji Ukiukaji na wizi wa data: Ufikiaji usioidhinishwa unaweza kusababisha watendaji hasidi kufikia na kuiba data nyeti kama vile maelezo ya mteja, siri za biashara, data ya fedha au mali ya uvumbuzi. Hii inaweza kusababisha uharibifu mkubwa wa kifedha, kisheria na sifa. Usumbufu wa mfumo: Ufikiaji usiofaa huwezesha maelewano ya mifumo muhimu. Watendaji hasidi wanaweza kuzindua programu ya ukombozi, kufuta au kupotosha data, au kutatiza utendakazi – kuathiri tija na uwezo. Kutofuata kanuni: Kanuni kama vile HIPAA, PCI-DSS na NIST zinahitaji udhibiti thabiti wa ufikiaji. Kukosa kutimiza utii kunaweza kusababisha kutozwa faini nzito na kupoteza vyeti vinavyohitajika ili kufanya kazi. Matumizi mabaya ya marupurupu: Ufikiaji unaoruhusu kupita kiasi huwezesha vitisho kutoka ndani ambapo wafanyakazi/watumiaji hutumia vibaya haki za juu ili kuhatarisha usalama kwa manufaa ya kibinafsi. Hii inasababisha ulaghai au hujuma. Hatari ya watu wengine: Udhibiti duni wa ufikiaji karibu na ufikiaji wa wahusika wa nje kama vile wachuuzi na washirika huwezesha vitisho hivi vya nje kuhatarisha usalama na kuongeza hatari. Je! ni Sekta gani Zinaathiriwa na Udhibiti Usiofaa wa Ufikiaji? Masuala yasiyofaa ya udhibiti wa ufikiaji hayabaguliwi na tasnia. Walakini, ni maarufu zaidi katika tasnia zingine kuliko zingine. Chati iliyo hapa chini inaonyesha udhaifu mkuu katika jukwaa la HackerOne kulingana na sekta. Udhibiti usiofaa wa ufikiaji hufanya tu 5% ya udhaifu uliotambuliwa katika nafasi ya Serikali, ilhali unafanya 13% kubwa katika Huduma za Mtandao na Mtandao. Mashirika ya serikali yanadhibitiwa sana linapokuja suala la ufikiaji na ulinzi wa data nyeti. Kwa upande mwingine, mashirika ya Mtandao na Huduma za Mtandao yana uwepo mkubwa wa wavuti ambao hufanya iwe changamoto kudhibiti ufikiaji, kwa hivyo wanaona udhaifu zaidi wa matunda ambao bado haujatambuliwa na kusuluhishwa na timu zao za usalama wa ndani. Angalia ni udhaifu wako ngapi ambao ni udhibiti usiofaa wa ufikiaji ikilinganishwa na wastani wa tasnia yako. Mfano wa Ulimwengu Halisi wa Nyenzo ya Athari ya Kudhibiti Ufikiaji Isiyofaa ya HackerOne’s Hacktivity inaonyesha udhaifu uliofichuliwa kwenye Mfumo wa HackerOne. Iangalie ili kuona jinsi udhaifu mahususi umetambuliwa na kurekebishwa. Mfano ufuatao wa udhibiti wa ufikiaji usiofaa unaonyesha jinsi mdukuzi aligundua athari katika KAYAK ambayo inaweza kumruhusu mvamizi kuchukua akaunti yoyote iliyoingia kwenye programu ya Android ya shirika. Mteja: Hatari ya KAYAK: Udhibiti Usiofaa wa Ufikiaji: Muhtasari Muhimu Wakati wa kutafiti udhaifu wa siku sifuri katika programu za simu, mdukuzi wa kimaadili @retr02332 aligundua kuwa inawezekana kuiba kidakuzi cha kipindi cha mtumiaji kupitia kiungo kibaya katika KAYAK v161.1. Kwa shambulio la mbofyo mmoja, mshambulizi ambaye hajaidhinishwa na kutoka mbali anaweza kuiba akaunti ya mwathiriwa yeyote aliyeingia kwenye programu ya simu ya KAYAK ya Android. Athari Mdukuzi alionyesha kuwa kuunda kiunganishi mahususi cha kina kwa kutumia anwani ya barua pepe ya mwathiriwa kunaweza kumruhusu mshambuliaji kupata ufikiaji wa akaunti ya mwathiriwa ya KAYAK kwa mbofyo mmoja bila uthibitishaji wowote. Walionyesha hatua zifuatazo ili kuzalisha unyonyaji: Unda kiunga kifuatacho cha kina na anwani ya barua pepe ya mwathiriwa: kayak://login?email=victim@email.com Tuma kiunga cha kina kwa mwathiriwa na kuwalaghai ili kubofya. Kiungo cha kina kitaweka mvamizi kiotomatiki kwenye akaunti ya mwathiriwa ya Kayak katika programu ya Android bila uthibitishaji wowote. Hili humruhusu mshambulizi kupata ufikiaji usioidhinishwa wa akaunti ya KAYAK ya mwathiriwa, kuona maelezo yake ya kibinafsi, na kutekeleza vitendo vya akaunti kama mwathiriwa. Urekebishaji Kiraka cha kwanza kilipatikana kupitia Duka la Google Play siku moja baada ya ugunduzi kuripotiwa kwa KAYAK. Kwa bahati nzuri, hatari hiyo ilianzishwa hivi majuzi tu kabla ya kugunduliwa, na timu ya usalama huko KAYAK iliamua kuwa imetumiwa vibaya. Kwa ujumla, udhibiti wa utekelezaji unaolenga kutoa ufikiaji mdogo muhimu, kutekeleza ukaguzi na mizani, inayohitaji uthibitishaji wa mambo mengi, na elimu ya watumiaji yote ni muhimu kwa kuzuia na kurekebisha udhaifu usiofaa wa udhibiti wa ufikiaji. Linda Shirika Lako dhidi ya Udhibiti Usiofaa wa Ufikiaji Ukitumia HackerOne Huu ni mfano mmoja tu wa kuenea na ukali wa athari ya hatari isiyofaa ya udhibiti wa ufikiaji. HackerOne na jumuiya yetu ya wavamizi wa maadili ndio walio na nyenzo bora zaidi kusaidia mashirika kutambua na kurekebisha udhibiti usiofaa wa ufikiaji na udhaifu mwingine, iwe kupitia fadhila ya hitilafu, Pentest kama Huduma (PTaaS), Ukaguzi wa Usalama wa Kanuni, au masuluhisho mengine kwa kuzingatia mawazo ya mshambulizi. kugundua udhaifu. Pakua Ripoti ya 8 ya Kila Mwaka ya Usalama inayoendeshwa na Hacker ili upate maelezo zaidi kuhusu athari za udhaifu 10 bora wa HackerOne, au uwasiliane na HackerOne ili uanze kuchukua udhibiti usiofaa wa ufikiaji katika shirika lako. Url ya Chapisho asili: https://www.hackerone.com/vulnerability-management/improper-access-control-deep-dive
Leave a Reply