Protegendo sua aplicação contra Broken Access Control (BAC)

Segundo a OWASP TOP 10 (2021), BAC é a vulnerabilidade mais comum encontrada em aplicações web, pois permitem que usuários não autorizados obtenham acesso a informações não autorizadas, ou até mesmo ações como: modificações e a destruição de dados.

Prevenir um ataque de Broken Access Control é muito importante, pois evita que ocorra a exposição de dados sensíveis ou críticos para o negócio de uma empresa. Se um atacante conseguir ganhar acesso a dados sensíveis, ele pode conseguir usar a informação para propósitos maliciosos, como roubo de identidade ou fraude. Caso um vazamento ocorra, poderá afetar a reputação e a imagem de uma organização, gerando perdas financeiras.

Atualmente há outro risco muito importante associado ao Broken Access Control: a violação de compliance!
Algumas organizações estão sujeitas a regulamentações nacionais ou internacionais, como: HIPAA, PCI DSS, GDPR e ou LGPD e ainda assim, não estar conforme o compliance. Isso pode acarretar multas ou penalidades.

Afinal, como podemos prevenir o BAC nas aplicações web?

Os desenvolvedores podem adotar diversas ações fundamentais para isso:

• Revisão do controle de acesso da aplicação detalhada
• Adoção de RBAC (Role Based Control) para impor limites em cada regra;
• Checar se todos os mecanismos de acesso estão propriamente aplicados ao lado do servidor, em todas as páginas e endpoints de API;
• Revisar acesso direto a websites ou recursos que usuários não deveriam ter acessos;
• Criação de uma política de segurança.

A Networksec consegue te apoiar na criação de ações para mitigações de ataques voltados ao Broken Access Control e na validação dos mecanismos de controle.
Entre em contato para mais informações, estamos à disposição!