Configuration des tests de contrôle d'accès défaillant à l'aide des API REST

Un contrôle d'accès défaillant se produit lorsqu'une application n'applique pas correctement les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire. Les attaquants peuvent exploiter ces vulnérabilités pour obtenir un accès non autorisé à des données ou des fonctionnalités sensibles.

Avant de commencer

Avant de configurer les tests de contrôle d'accès défaillant, assurez-vous de répondre aux exigences suivantes :
  • Un travail DASTConfig existant qui n'est pas à l'état "En cours d'exécution" ou "Terminé".
  • Des fichiers de trafic de référence pour les rôles que vous souhaitez tester. Formats de fichiers pris en charge : .har, .seqe, .exd et .dast.config (couvrant à la fois les fichiers chiffrés FIPS et non FIPS générés par Activity Recorder et Traffic Recorder).
  • Une URL cible qui correspond exactement à l'URL du fichier de trafic de référence.
  • Une taille de fichier ne dépassant pas 200 Mo par rôle.
Remarque :
Les fichiers .scan standard ne sont pas pris en charge pour cette fonctionnalité.

Pourquoi et quand exécuter cette tâche

Ces tests identifient deux scénarios principaux :
  • Contrôle d'accès vertical : Un utilisateur avec moins de privilèges accède à des fonctions ou des données réservées à un utilisateur avec plus de privilèges (par exemple, un utilisateur standard accédant à un tableau de bord administratif).
  • Contrôle d'accès horizontal : Un utilisateur accède à des données appartenant à un autre utilisateur ayant le même niveau de privilège (par exemple, l'Utilisateur A consultant les détails du compte privé de l'Utilisateur B).

Pour éviter les faux positifs sur les pages publiques (pages accessibles sans authentification), AppScan Enterprise utilise un mécanisme de delta. Il compare le trafic de l'utilisateur authentifié à une ligne de base d'un utilisateur non authentifié. Si une page est accessible à l'utilisateur non authentifié, elle fait office de liste d'exclusion et n'est pas signalée comme une vulnérabilité de contrôle d'accès défaillant.

Procédure

  1. Ajouter un rôle et télécharger le trafic de référence.
    Utilisez le point de terminaison POST /jobs/{jobId}/brokenaccesscontrol/add pour joindre le trafic de référence à votre travail d'analyse actif. Vous devez utiliser multipart/form-data pour la requête.
    • Job ID : Saisissez le JobID requis pour le travail d'analyse cible.
    • Pour un rôle authentifié : Spécifiez un roleName unique (par exemple, Admin ou StandardUser) et fournissez le chemin du fichier. Le nom du rôle ne doit pas contenir les caractères spéciaux suivants : <>"'%;)(&+
    • Pour une ligne de base non authentifiée : Définissez le paramètre isNonAuthenticated sur true. Omettez complètement le paramètre roleName, sinon la requête échouera. Vous ne pouvez télécharger qu'un seul fichier de référence non authentifié par travail.
  2. Exécuter l'analyse.
    Après avoir téléchargé les fichiers de trafic pour tous les rôles requis, démarrez l'analyse DAST à l'aide du point de terminaison POST /jobs/{jobId}/actions. AppScan Enterprise explore l'application et teste les vulnérabilités de contrôle d'accès défaillant en fonction des lignes de base de rôle fournies.
  3. Facultatif : Mettre à jour ou supprimer un rôle.
    Si vous devez mettre à jour le fichier de trafic pour un rôle ou supprimer complètement le rôle, utilisez le point de terminaison DELETE /jobs/{jobId}/brokenaccesscontrol/delete. Fournissez le jobId et le roleName. Pour supprimer une ligne de base non authentifiée, fournissez le roleName en tant que "Non-Authenticated-User". Pour mettre à jour le rôle, répétez l'étape 1 pour l'ajouter à nouveau avec le nouveau fichier de trafic.