¿Qué es Broken Access Control?

| Última modificación: 18 de abril de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes qué es Broken Access Control? En el mundo del hacking, el ranking de OWASP Top 10 es el estándar que define cuáles son los diez ciberataques más comunes en las aplicaciones web y este es uno de ellos. Esta organización sin ánimo de lucro tiene el fin de crear conciencia alrededor de la ciberseguridad en el internet.

En este post, hablaremos acerca de la amenaza informática que obtuvo el primer puesto en la lista de OWASP Top 10 en el 2021. A continuación, te explicaremos qué es Broken Access Control, el fallo más utilizado en la actualidad por hackers maliciosos para perjudicar la seguridad y el funcionamiento de las páginas web.

¿Qué es Broken Access Control?

El Broken Access Control es un fallo de ciberseguridad que le permite a un hacker malicioso escalar en los privilegios de usuario de una página web, con el fin de poder ejecutar acciones de administrador que perjudiquen a los dueños del sistema y los usuarios. Actualmente, se considera el fallo de seguridad más explotado por los hackers de sombrero negro para atacar aplicaciones web. Además, suele ir de la mano con otra vulnerabilidad conocida como Sensible Data Exposure o exposición de datos sensibles.

¿Cómo explotar un fallo de Broken Access Control?

Ahora que has visto la definición de qué es Broken Access Control, seguramente te estarás preguntando cómo se encuentran y se explotan estos fallos de seguridad.

Existen diferentes mecanismos para encontrar vulnerabilidades en la gestión de acceso de los usuarios. Muchas páginas están construidas sin tener en cuenta aspectos de ciberseguridad y, por eso, pueden cometer el error de dejar datos sensibles en lugares públicos. Esta información pública puede ser rastreada por hackers utilizando diferentes técnicas y herramientas, como las que mencionaremos a continuación:

Revisión del código fuente

La revisión de código fuente de una aplicación web podría revelar dónde se encuentran los fallos en la gestión de acceso de los usuarios, que establece el nivel de privilegios que tiene cada uno. Se supone que un usuario debe tener la menor cantidad de privilegios posibles al conectarse a una página, pero esto no siempre se configura de esta manera y aquello puede aprovecharse en un ciberataque.

Fuzzing

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Si un atacante sabe qué es Broken Access Control y busca este fallo en una aplicación web, es posible que utilice una técnica de fuzzing para encontrarlo.

El fuzzing es una técnica que se utiliza en ciberseguridad para automatizar la prueba de diferentes valores en una entrada con el fin de encontrar alguno que funcione o que genere un fallo. Un web fuzzer es una herramienta que se especializa en encontrar direcciones URL asociadas a una página web, que puedan estar indexadas por error y permitan acceder a datos sensibles o hacer una escalada de privilegios.

Robots.txt

El Robots.txt es un fichero que se estandarizó para indicarle a los robots de Google qué información no debería indexar en sus motores de búsqueda. Sin embargo, la mala configuración de este archivo de texto podría revelar, precisamente, la ubicación y el acceso de estos directorios confidenciales.

¿Cómo aprender más?

Ahora sabes qué es Broken Access Control, en qué consiste este fallo y cómo suelen encontrarlo los hackers en la web. Si quieres seguir aprendiendo y especializarte en ciberseguridad, en KeepCoding te ofrecemos la mejor opción. Únete a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un experto en tan solo 7 meses. ¡Inscríbete!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado