Monesti oikean maailman sovellusten tietoturvatestauksessa törmätään haasteeseen: kuinka määritellään, onko jokin pääsynhallinnan haavoittuvuus vai ei? Sovellukset koostuvat erilaisista toiminnallisuuksista ja näkymistä, eikä aina ole yksiselitteistä, mitä tietoja kenenkin pitäisi nähdä. Kehittäjä voi helposti väittää, että "tämän käyttäjän kuuluukin nähdä tämä tieto", mikä tekee arvioinnista haastavaa.

Erityisesti sovelluksissa, joissa on useita rooleja ja monimutkaisia pääsynhallintamalleja, voi olla vaikeaa hahmottaa, mitä käyttäjillä tulisi tai ei tulisi olla oikeus tehdä. Joissain tapauksissa rajanveto on selkeämpää, esimerkiksi silloin, kun sovelluksessa on yksiselitteisiä käyttöoikeusrajoja, kuten henkilökohtaiset toiminnallisuudet. Toisinaan taas ulkopuolisen on lähes mahdotonta varmistaa, mikä kuuluu kenellekin.

Tästä syystä on aina suositeltavaa vaatia kehittäjältä tai asiakkaalta selkeä roolikuvaus jokaisesta käyttäjäroolista. Tämä mahdollistaa systemaattisen vertailun todellisen pääsynhallinnan ja sovelluksen vaatimusten välillä, jolloin haavoittuvuuksien tunnistaminen helpottuu.

Miksi käyttää Autorize:n kaltaisia työkaluja?

Useimmiten varmin tapa varmistaa, että sovelluksen pääsynhallinta on kunnossa, on käydä läpi sen lähdekoodi ja tarkistaa, että asianmukaiset kontrollit on toteutettu oikein. Tämä ei kuitenkaan aina ole mahdollista, jos lähdekoodia ei ole saatavilla. Mitä siis voidaan tehdä tällaisessa tilanteessa?

Manuaalinen tarkistus jokaisen toiminnallisuuden osalta olisi äärimmäisen aikaa vievää ja tehotonta. Siksi on kehitetty erilaisia työkaluja, jotka nopeuttavat ja tehostavat pääsynhallinnan arviointia, mahdollistaen kattavamman ja systemaattisemman tarkastelun. Katsotaan tätä seuraavaksi käytännössä.

Aloitetaan autorize -lisäosan käytön harjoittelu asentamalla se BurpSuite työkaluun. Tämä onnistuu helposti navigoimalla BApp kauppaan ja etsimällä sieltä autorize.

Autorize -lisäosan toimintalogiikka on suhteellisen yksinkertainen. Meillä on sovellus, jossa on erilaisia rajoituksia siihen, että kuka saa nähdä ja mitä. Kirjaudutaan ensin sovellukseen käyttäen yhtä käyttäjää. Jos sovelluksessa on useita eri käyttäjätasoja, niin valitaan matalampi käyttäjätaso näistä kahdesta vertailussa olevasta käyttäjästä. Kun olet kirjautunut, niin kopioidaan kyseisen käyttäjän tunnistetiedot (esimerkiksi keksit) ja asetetaan ne autorize -asetuksiin.

Tässä vaiheessa on hyvä olla tarkkana, ettei pyynnöt eksy väärille teille. Yksi hyvä tapa varmistaa tämä on määrittää ensin scope (jos tämä ei ole tuttua, niin katso BurpSuite -perusteet kurssi 

Voidaan myös tarkentaa, että vain tietyn merkkijonon sisältämät pyynnöt halutaan testata. Tämä voi olla hyödyllistä esimerkiksi, jos halutaan testata vain tietyn rajapinta-alueen pyyntöjä tai vastaavaa.

Kun asetukset ovat mieluiset (ainoat pakolliset ovat nuo tunnistetiedot), niin voidaan jatkaa avaamalla esimerkiksi uusi ikkuna incognito-moodissa. Tässä ikkunassa kirjaudutaan sitten sillä toisella vertailussa olevalla käyttäjällä, jolla tässä esimerkissä olisi enemmän oikeuksia, eli korkeamman tason käyttäjällä.

Kun olet kirjautunut molemmilla tileillä ja autorize on valmis, niin laitetaan autorize lisäosa päälle.

Nyt kun suoritat minkä vain pyynnön sillä korkeamman tason käyttäjällä, niin autorize lisäosa kaikessa yksinkertaisuudessaan vain toistaa saman kyseisen pyynnön siten, että korvaa siitä ne olemassa olevat tunnistetiedot (korkeamman tason käyttäjän evästeet) autorize lisäosaan asetetuilla tunnistetiedoilla. Samoin lisäosa myös kokeilee toistaa kyseisen pyynnön ilman mitään tunnistetietoja, eli täysin kirjautumattomana. Näistä pyynnöistä ja vastauksista jää tämän jälkeen jälki autorize lisäosan lokiin.

Harjoittele seuraavaksi autorize -lisäosan käyttöä itsenäisesti. Alla olevan tehtävän sovelluksessa on kolme käyttäjätasoa. 

. Käytä näitä ja etsi ensin sovelluksesta toiminnallisuus, josta puuttuu pääsynhallinnantarkistus. Hyödynnä sitten tätä puutetta ja vuoda sovelluksesta jotain sinulle kuulumatonta tietoa, niin saat lipun. 

Pääsynhallinnan testaaminen autorize lisäosalla

## 

---

## Pääsynhallinnan dilemma

Monesti oikean maailman sovellusten tietoturvatestauksessa törmätään haasteeseen: kuinka määritellään, onko jokin pääsynhallinnan haavoittuvuus vai ei? Sovellukset koostuvat erilaisista toiminnallisuuksista ja näkymistä, eikä aina ole yksiselitteistä, mitä tietoja kenenkin pitäisi nähdä. Kehittäjä voi helposti väittää, että "tämän käyttäjän kuuluukin nähdä tämä tieto", mikä tekee arvioinnista haastavaa.

Erityisesti sovelluksissa, joissa on useita rooleja ja monimutkaisia pääsynhallintamalleja, voi olla vaikeaa hahmottaa, mitä käyttäjillä tulisi tai ei tulisi olla oikeus tehdä. Joissain tapauksissa rajanveto on selkeämpää, esimerkiksi silloin, kun sovelluksessa on yksiselitteisiä käyttöoikeusrajoja, kuten henkilökohtaiset toiminnallisuudet. Toisinaan taas ulkopuolisen on lähes mahdotonta varmistaa, mikä kuuluu kenellekin.

Tästä syystä on aina suositeltavaa vaatia kehittäjältä tai asiakkaalta selkeä roolikuvaus jokaisesta käyttäjäroolista. Tämä mahdollistaa systemaattisen vertailun todellisen pääsynhallinnan ja sovelluksen vaatimusten välillä, jolloin haavoittuvuuksien tunnistaminen helpottuu.

---

## Miksi käyttää Autorize:n kaltaisia työkaluja?

Useimmiten varmin tapa varmistaa, että sovelluksen pääsynhallinta on kunnossa, on käydä läpi sen lähdekoodi ja tarkistaa, että asianmukaiset kontrollit on toteutettu oikein. Tämä ei kuitenkaan aina ole mahdollista, jos lähdekoodia ei ole saatavilla. Mitä siis voidaan tehdä tällaisessa tilanteessa?

Manuaalinen tarkistus jokaisen toiminnallisuuden osalta olisi äärimmäisen aikaa vievää ja tehotonta. Siksi on kehitetty erilaisia työkaluja, jotka nopeuttavat ja tehostavat pääsynhallinnan arviointia, mahdollistaen kattavamman ja systemaattisemman tarkastelun. Katsotaan tätä seuraavaksi käytännössä.

---

## Autorize -lisäosan asentaminen

Aloitetaan autorize -lisäosan käytön harjoittelu asentamalla se BurpSuite työkaluun. Tämä onnistuu helposti navigoimalla BApp kauppaan ja etsimällä sieltä autorize.

![](sanity:image-45b2b4f49ed53b4ff25e379d5778715ede290e07-1968x684-png)

---

## Autorize -lisäosan toimintalogiikka

Autorize -lisäosan toimintalogiikka on suhteellisen yksinkertainen. Meillä on sovellus, jossa on erilaisia rajoituksia siihen, että kuka saa nähdä ja mitä. Kirjaudutaan ensin sovellukseen käyttäen yhtä käyttäjää. Jos sovelluksessa on useita eri käyttäjätasoja, niin valitaan matalampi käyttäjätaso näistä kahdesta vertailussa olevasta käyttäjästä. Kun olet kirjautunut, niin kopioidaan kyseisen käyttäjän tunnistetiedot (esimerkiksi keksit) ja asetetaan ne autorize -asetuksiin.

![](sanity:image-9822bb52a137d8083cab978fd6be6dbf86da9726-1122x654-png)

### Scope items only!

Tässä vaiheessa on hyvä olla tarkkana, ettei pyynnöt eksy väärille teille. Yksi hyvä tapa varmistaa tämä on määrittää ensin scope (jos tämä ei ole tuttua, niin katso BurpSuite -perusteet kurssi [täältä](https://www.hakatemia.fi/courses/burpsuite-perusteet/scope)) ja sitten asettaa **Scope items only** -asetus.

![](sanity:image-f2ac1fee62a922ec8bf9413757554105ea0411bc-822x338-png)

Voidaan myös tarkentaa, että vain tietyn merkkijonon sisältämät pyynnöt halutaan testata. Tämä voi olla hyödyllistä esimerkiksi, jos halutaan testata vain tietyn rajapinta-alueen pyyntöjä tai vastaavaa.

Kun asetukset ovat mieluiset (ainoat pakolliset ovat nuo tunnistetiedot), niin voidaan jatkaa avaamalla esimerkiksi uusi ikkuna incognito-moodissa. Tässä ikkunassa kirjaudutaan sitten sillä toisella vertailussa olevalla käyttäjällä, jolla tässä esimerkissä olisi enemmän oikeuksia, eli korkeamman tason käyttäjällä.

Kun olet kirjautunut molemmilla tileillä ja autorize on valmis, niin laitetaan autorize lisäosa päälle.

![](sanity:image-1476ea9cca7e13cdfe65e2255e6df93ed0a0710e-982x206-png)

Nyt kun suoritat minkä vain pyynnön sillä korkeamman tason käyttäjällä, niin autorize lisäosa kaikessa yksinkertaisuudessaan vain toistaa saman kyseisen pyynnön siten, että korvaa siitä ne olemassa olevat tunnistetiedot (korkeamman tason käyttäjän evästeet) autorize lisäosaan asetetuilla tunnistetiedoilla. Samoin lisäosa myös kokeilee toistaa kyseisen pyynnön ilman mitään tunnistetietoja, eli täysin kirjautumattomana. Näistä pyynnöistä ja vastauksista jää tämän jälkeen jälki autorize lisäosan lokiin.

![](sanity:image-ee574c15e655bedf86a533990cde2fa4fc66f73a-1688x262-png)

---

## Itsenäinen harjoittelu

Harjoittele seuraavaksi autorize -lisäosan käyttöä itsenäisesti. Alla olevan tehtävän sovelluksessa on kolme käyttäjätasoa. **Admin**, **User **ja **kirjautumaton** **käyttäjä**. Normaalin käyttäjän tunnukset ovat **user:user **. Käytä näitä ja etsi ensin sovelluksesta toiminnallisuus, josta puuttuu pääsynhallinnantarkistus. Hyödynnä sitten tätä puutetta ja vuoda sovelluksesta jotain sinulle kuulumatonta tietoa, niin saat lipun. 

@exercise d2e84b2caef5


Pääsynhallinta - testauksen helpottaminen autorize lisäosalla

Kehitys kehittyy ja modernien sovelluskehysten ansiosta perinteisiä injektiohaavoittuvuuksia tai autentikointiongelmia näkee jatkuvasti vähemmän. Yksi asia kuitenkin on joka tuntuu pysyvän aina yhtä vaikeana toteuttaa turvallisesti, ja se on monimutkaisen sovelluksen pääsynhallinta.

Pääsynhallinta - testauksen helpottaminen autorize lisäosalla

Hakkeroinnin oppiminen alkaa tästä