Uso de permisos en recursos críticos
- Área: Control de Acceso y Autenticación
- Tipo de pauta: Directriz
- Carácter de la pauta: Obligatoria
Garantizar que los permisos requeridos para utilizar un recurso son los correctos.
Cuando a un recurso se le asigna una configuración de permisos que proporciona acceso a una gama de actores más amplia de lo requerido, existe el riesgo de que se revele información sensible a usuarios que no deberían tener acceso a ella o que el recurso sea modificado por partes no deseadas.
Esto es especialmente peligroso cuando el recurso está relacionado con la configuración del programa, la ejecución o datos confidenciales de usuario.
Pautas
Título | Carácter |
---|---|
Permisos de los recursos | Obligatoria |
Configuración por defecto | Obligatoria |
Documentación | Obligatoria |
Permisos de los recursos
Comprobar que los recursos no poseen permisos inseguros.
Cuando se utiliza un recurso crítico, como un archivo de configuración, ejecutable o biblioteca, comprobar que el recurso no tenga permisos inseguros, como ser modificable por cualquier usuario normal del sistema, sino que se ubiquen en zonas seguras del servidor o con privilegios especiales.
También comprobar que sólo los usuarios con el perfil "Administrador" tienen permisos de lectura y escritura sobre el recurso, y generar un error o incluso salir de la aplicación si existe la posibilidad de que el recurso pudiese haber sido modificado por una parte no autorizada.
Configuración por defecto
La configuración por defecto de las aplicaciones debe ser segura
Las aplicaciones deben tener una configuración de inicio que sea segura.
Documentación
No sugerir cambios inseguros en la documentación
No se deben sugerir cambios de configuración inseguros en la documentación, especialmente si esas configuraciones se puede extender a los recursos y otros programas que están fuera del alcance de su propio software.
Contenidos relacionados
Código | Título | Tipo | Carácter |
---|---|---|---|
RECU-0555 | Comprobar los permisos de un nodo específico utilizando node_access en Drupal | Ejemplo | Obligatorio |