V13.1.4 Generic Web Service Security

Requirement:

Verify that authorization decisions are made at both the URI, enforced by programmatic or declarative security at the controller or router, and at the resource level, enforced by model-based permissions.

Explanation:

На уровне URI решения об авторизации обычно принимаются с помощью программной или декларативной безопасности на контроллере или маршрутизаторе. Это означает, что приложение проверяет, имеет ли пользователь необходимые привилегии для доступа к определенному URI (например, к определенной конечной точке в REST API), прежде чем разрешить ему продолжить работу. Этого можно достичь с помощью таких фреймворков, как Spring Security, или с помощью промежуточного программного обеспечения, такого как Passport.js.

На уровне ресурсов решения об авторизации обеспечиваются разрешениями на основе модели. Это означает, что приложение проверяет, имеет ли пользователь необходимые привилегии для доступа к конкретному ресурсу (например, к конкретной записи базы данных или файлу), прежде чем разрешить ему выполнить какое-либо действие над ним. Это может быть достигнуто с помощью списков контроля доступа (ACL), механизмов контроля доступа на основе ролей (RBAC) или контроля доступа на основе атрибутов (ABAC).

Remediation:

Чтобы соответствовать этому требованию ASVS, вы должны убедиться, что ваше приложение разработано так, чтобы обеспечивать выполнение решений по авторизации как на уровне URI, так и на уровне ресурса. Этого можно достичь, следуя следующим советам:

•     Используйте фреймворк, обеспечивающий декларативную или программную безопасность на уровне контроллера или маршрутизатора, например, Spring Security или Passport.js.
•     Реализуйте механизмы контроля доступа на уровне ресурсов, такие как ACL, RBAC или ABAC.
•     Убедитесь, что ваше приложение проверяет разрешения как на уровне URI, так и на уровне ресурсов, прежде чем разрешить любому пользователю выполнить действие.
•     Используйте четко определенные роли и разрешения для управления доступом к ресурсам и обеспечьте их надлежащее применение.
•     Рассмотрите возможность внедрения механизма регистрации и аудита для отслеживания действий пользователя и обнаружения любых попыток несанкционированного доступа.

Вот пример того, как можно обеспечить выполнение решений по авторизации с помощью Spring Security: Использование Spring Security

@GetMapping("/resource/{id}")

@PreAuthorize("hasPermission(#id, 'read')")

public Resource getResource(@PathVariable("id") Long id) {

// retrieve resource with the given ID

}

В этом примере аннотация @PreAuthorize проверяет, есть ли у текущего пользователя разрешение на чтение ресурса с заданным ID, прежде чем разрешить ему доступ к нему.

Вот пример того, как можно обеспечить выполнение решений по авторизации с помощью ACL: Enforcing authorization ACL Python example

def check_acl(user, resource):

acl = get_acl(resource)

if user in acl.get('read'):

return True

else:

return False

def read_resource(user, resource):

if check_acl(user, resource):

# perform read operation on the resource

else:

# raise unauthorized access exception

В этом примере функция check_acl проверяет, имеет ли текущий пользователь разрешение на чтение ресурса, проверяя ACL. Функция read_resource использует функцию check_acl для выполнения операции чтения ресурса только в том случае, если пользователь имеет необходимое разрешение. В противном случае возникает исключение несанкционированного доступа.

Additional:

CWE-285: Improper Authorization