Broken Access Control

Broken Access Control
Photo by Markus Spiske / Unsplash

Broken Access Control is een kwetsbaarheid in een systeem waarbij onbevoegde gebruikers toegang kunnen krijgen tot beveiligde delen van het systeem of gevoelige gegevens kunnen bekijken, bewerken of verwijderen.

Access Control verwijst naar de methoden die worden gebruikt om de toegang tot een systeem te beheren, zoals gebruikersaccounts, toegangsrechten, rollen en machtigingen. Als deze controles niet goed worden geïmplementeerd, kunnen aanvallers kwetsbaarheden exploiteren en toegang krijgen tot gegevens en functionaliteiten waar ze geen toegang toe zouden moeten hebben.

Voorbeelden van Broken Access Control kunnen zijn:

  • Zwakke wachtwoorden of gemakkelijk te raden gebruikersnamen die aanvallers toegang geven tot gevoelige gegevens of functies.
  • Fouten in de logica van de toegangscontroles, waardoor aanvallers de toegang tot bepaalde delen van het systeem kunnen omzeilen.
  • Mislukte verificatie- of autorisatiemechanismen waardoor aanvallers toegang kunnen krijgen tot accounts, rollen of machtigingen die ze niet zouden moeten hebben.
  • Onvoldoende of geen beveiliging van API's, waardoor aanvallers toegang kunnen krijgen tot gegevens of functies via API's.