Pentest aplicatii Web

Broken Access Control vulnerabilities

> Horizontal Access Control — Când un utilizator este capabil să acceseze resurse sau să efectueze funcționalități în numele unui utilizator cu același privilegiu, de exemplu, putând accesa profilul altui utilizator.
> Vertical Access Control —  Când un utilizator poate accesa resurse sau funcționalități rezervate utilizatorilor cu un privilegiu superior, cum ar fi Admin
> Context-Dependent Access Control — Când un utilizator poate ocoli procesul tradițional de autentificare pentru a avea access la o anumita funcționalitate, cum ar fi ștergerea unui cont de utilizator sau a datelor referitoare la un alt utilizator.

Exemplu: IDOR or Insecure Direct Object Reference

Cryptographic Failures

> Data Encryption in transit — Criptarea traficului de rețea între client și server pentru a preveni atacurile de tip man-in-the-middle

> Data encryption at rest — Datele care sunt stocate pe un server sunt criptate