Broken Access Control con Burp Suite

Curso de OWASP Top 10: Riesgos en Aplicaciones

Contenido del curso

Introducción a OWASP Top 10

Cómo utilizar el Top 10 de riesgos en aplicaciones

Cómo implementar OWASP Top 10 en tu empresa

15
Gestión de Riesgos en Aplicaciones con OVAS y ISO 27001
01:34 min

Tomar examen

Broken Access Control con Burp Suite

Resumen

El Broken Access Control es el riesgo más crítico del OWASP Top 10, catalogado como A01, y aparece cuando una aplicación permite a un usuario ejecutar acciones fuera de los límites que le corresponden. Si trabajas en desarrollo, pentesting o seguridad de aplicaciones, entender este fallo te ayuda a proteger datos sensibles y evitar escaladas de privilegios.

A continuación verás cómo se manifiesta, qué impacto real ha tenido y cómo detectarlo y corregirlo con una práctica guiada usando Burp Suite.

¿Qué es Broken Access Control y por qué es el riesgo A01?

Es una falla que rompe el principio de mínimo privilegio: un usuario logra hacer algo que su rol no debería permitirle. La filosofía correcta para evitarlo es zero trust, es decir, denegar todo por defecto y habilitar solo lo necesario.

¿Qué significa A01 en OWASP? Es el código que identifica al riesgo número uno del Top 10 de OWASP, el más crítico, y corresponde a Broken Access Control.

¿Cómo se ve este fallo en una aplicación real?

Las formas más comunes en las que aparece son tres y conviene reconocerlas en cualquier auditoría:

Modificación de URLs: cambiar un ID de curso en la URL para acceder a contenido no autorizado, o manipular una variable como action para crear, editar o eliminar registros.
APIs sin control de acceso: una petición GET a una orden con un ID numérico (por ejemplo el 10) que puede iterarse y automatizarse para extraer información ajena.
Violación del mínimo privilegio: permitir más acciones de las necesarias a un rol determinado.

¿Qué impacto tiene un Broken Access Control mal gestionado?

El caso de Confluence Server lo ilustra bien. Los ciberdelincuentes explotaron la vulnerabilidad CVE-2023-22515, asociada justamente a Broken Access Control, y lograron desplegar ransomware dentro de la organización afectada, cifrando información y datos sensibles.

No se trata de un riesgo teórico. Cuando alguien rompe el control de acceso, puede leer datos privados, modificar registros o tomar control administrativo total de la aplicación.

¿Cómo mitigar Broken Access Control en tus aplicaciones?

Los controles que funcionan se aplican en arquitectura, código y monitoreo. Estos son los que conviene implementar:

Denegación por defecto: permite solo lo estrictamente necesario para cada usuario o rol.
Políticas de control de acceso por rol o grupo: defínelas desde la arquitectura, no como un parche posterior.
Evita directorios navegables: una falla recurrente que expone información del web server o servicios internos.
Monitorea actividad sensible: revisa cuándo se crea, edita o elimina un registro.
Aplica rate limits en APIs: por ejemplo, 50 requests por minuto y bloqueo automático al superar el umbral.
Configura expiración de JWT: si dejas tokens sin caducidad, abres la puerta a ataques de suplantación.

¿Qué es zero trust en control de acceso? Es un modelo donde se niega todo acceso por defecto y solo se habilita lo necesario para cada rol, validando cada petición.

¿Cómo detectar Broken Access Control con Burp Suite?

La práctica se hace sobre una aplicación web vulnerable que simula una plataforma de aprendizaje con dos perfiles: administrador y usuario normal. Con Burp Suite interceptando todas las peticiones, el flujo es así:

Iniciar sesión como admin y confirmar que ve el listado completo de usuarios (admin, user1, user2).
Cerrar sesión e ingresar como user1, un usuario con menos privilegios.
Apuntar al endpoint del listado de usuarios. La aplicación responde no autorizado.
En Burp, revisar la petición del login exitoso de user1 y encontrar una cadena sospechosa en las cookies.
Decodificar esa cadena en Base64: aparece un campo de rol con valor user.
Cambiar user por admin, codificar de nuevo en Base64 y reenviar la petición desde Repeater.
La aplicación devuelve el listado completo: el usuario normal ahora tiene privilegios de administrador.

Ahí está la falla: el rol se valida a nivel de cookie, algo que el cliente puede manipular.

¿Cómo corregir el fallo desde el código?

La solución es mover la validación del rol al backend. En el archivo users/index.js se ajusta la lógica para consultar el rol directamente desde la tabla de usuarios en base de datos, no desde la cookie enviada por el cliente.

Al reenviar la misma petición manipulada desde Burp, la respuesta cambia a no autorizado. El control quedó aplicado.

¿Por qué validar el rol en base de datos y no en cookie? Porque las cookies viajan en el cliente y pueden modificarse. La base de datos es la fuente confiable que el atacante no controla.

Palabras clave que aparecen en la clase y conviene dominar: zero trust, mínimo privilegio, rate limit, JWT, Base64, Burp Suite, Repeater, CVE-2023-22515 y directorios navegables. Cada una representa una pieza concreta del rompecabezas de seguridad en aplicaciones web.

¿Ya descargaste la aplicación vulnerable para probar estos controles tú mismo? Cuéntame en los comentarios qué fallas encontraste y cómo las corregiste.

Comentarios33

Jesus Torres

Estudiante

Se brinca muchos pasos y explica muy poco, no creo que sea necesario una lección completa sobre las herramientas, basta con 3 minutos mas en el que muestre como se abre BurpSuite y donde hacer click para obtener la información. Otro cambio recomendable seria hacer el código de solución y volver a ejecutar el proyecto, no solo mostrar la solucion.

Algo que muchos profesores hacen es decir "pausa el video e intenta resolverlo" antes de dar la respuesta

Diego Ademir Duarte Santana

Profesor

mil gracias por tu aporte, cada solución tiene una rama en el repositorio. Tienes razón, suponemos algunas cosas por el nivel del curso. Pero puedo fabricar blogs al respecto sin problema.

Juan Vacca

Estudiante

Buenas tardes, esta fase de la ruta de ciberseguridad es introductoria, sí hubiera sido bueno profundizar en algunos conceptos y explicaciones para las herramientas, claramente uno puede buscar en internet, pero hasta para buscar se debe tener claro lo que se esta buscando.

LUIS FERNANDO SILVA BETANCURT

Estudiante

muy mal esta leccion "suponemos algunas cosas por el nivel del curso" no creo ya que estoy haciendo desde el inicio especialista de ciberseguridad en ningun momento eplicaron el montaje de las apps etc en ocaciones anteriores , deben actualizar o estructurar el curso, si entendi la leccion pero si me gustaria que lo hicieran desde 0 con las debidas instalaciones, muchas gracias.

Saul Corona

Estudiante

Creo que se omitio decir que el plugin es FoxyProxy y se tiene que agregar Burpsuite.

Diego Ademir Duarte Santana

Profesor

Correcto, suponemos algunos ítems por al nivel avanzado del curso.

Diego Fernando Ramos Aguirre

Estudiante

para configurar la extensión utilice este tutorial

Carlomag Mejia Alarcon

Estudiante

para los estudiantes que estan comenzando este curso y estan un poco frustados para los procesos de instalacion uso de aplicaciones repositorios uso de kali, les recomiendo q lo mejor q pueden hacer es ... dejarlo de ultimo en la ruta de ESPECIALISTA EN CIBERSEGUIRDAD debido a q este curso comienza aplicando muchos conceptos que para mi experiencia en platzy no deberia ponerlo como 3cero en introduccion a la seguridad informatica creo q falla en el orden en el cual impone el curso , se deben de ver al menos un orden que veo logico seria ponerlo en la seccion ,hacking etico y seguridad avanzada luego de la introducion a hacking web services estaria mas claro para algunos

Guillermo Escalona Olivares

Estudiante

Creo que valdría la pena se explique como usar la herramienta, ya que se asume que ya sabemos usarla y supongo que existen algunos que no sabemos usarla.

La parte teoria esta muy bien,

LUIS FERNANDO SILVA BETANCURT

Estudiante

Repito con todo respeto mi comentario, creo que sabes mucho pero si se requeria un capitulo anterior la instalacion de todas las herramientas, no se hablo de varias cositas.

Emmanuel Guerra Sánchez

Estudiante

Si no pueden iniciar sesión, verifiquen que tienen instalado el certificado y que están usando https

Luis Gabriel Rueda Yarleque

Estudiante

gracias por el aporte.

Fernando Alberto Velasquez Aguilera

Estudiante

El control de acceso roto (Broken Access Control) se refiere a una categoría de vulnerabilidades de seguridad en aplicaciones web donde las restricciones sobre lo que los usuarios autenticados están autorizados a hacer no se implementan o se implementan incorrectamente. Esta vulnerabilidad ocurre cuando un usuario puede realizar acciones fuera de sus permisos previstos, como acceder a datos o realizar operaciones que deberían estar restringidas. Broken Access Control se ha destacado en varias ediciones del OWASP Top 10 debido a su prevalencia y el impacto significativo que puede tener en la seguridad de una aplicación.

Ejemplos Comunes de Broken Access Control

Bypass de restricciones de acceso: Un usuario sin privilegios accede a funciones o datos reservados para usuarios con mayores privilegios, como acceder a perfiles de usuario, datos financieros, o realizar acciones administrativas sin las debidas autorizaciones.
Modificación de URL o ID de sesión: Manipular URL o identificadores de sesión para acceder a información o realizar acciones que no deberían estar disponibles para el usuario autenticado.
Elevación de privilegios: Un usuario con privilegios bajos manipula la aplicación para otorgarse privilegios más altos.

Impacto

El impacto de Broken Access Control puede ser significativo y variado, dependiendo de la naturaleza de la aplicación y los datos o funciones expuestas indebidamente. Puede conducir a la divulgación no autorizada de información sensible, modificación de datos, realización de transacciones no autorizadas, e incluso comprometer completamente la seguridad de la aplicación web.

Mitigación

Para mitigar las vulnerabilidades de Broken Access Control, se recomienda adoptar un enfoque de seguridad en capas que incluya:

Principio de menor privilegio: Asegurarse de que los usuarios tengan solo los permisos necesarios para realizar sus tareas.
Autenticación y autorización robustas: Implementar controles de acceso fuertes y asegurarse de que se verifiquen de manera consistente a lo largo de la aplicación.
Controles de acceso a nivel de aplicación: Utilizar controles de acceso en el servidor, no solo en el cliente, para asegurar que los controles no puedan ser fácilmente evadidos.
Auditorías y registros: Mantener registros detallados de las actividades de acceso para permitir la auditoría y la detección de accesos no autorizados o anomalías.
Pruebas de seguridad regulares: Realizar pruebas de penetración y revisiones de código para identificar y remediar las vulnerabilidades de control de acceso roto antes de que puedan ser explotadas.

Diego Fernando Ramos Aguirre

Estudiante

Gracias por el aporte

Javier Ramos

Estudiante

Excelente resumen

Laura Herrera

Estudiante

No entiendo, alguien que me ayude, instale todo lo que mencionan pero no se como conectar todas las cosas, por ende al utilizar localbox el navegador no me muestra nada

Luis Miguel Ospina Muñoz

Estudiante

que ventajas tiene Burp sobre el dev-tools de los navegadores (console y network tabs)?

Diego Ademir Duarte Santana

Profesor

los plugins, automatización de ataques, history, repetir peticiones, entre otras más

Anthony Alexis Rubio Perez

Estudiante

Como no pude hacer la configuración con https del laboratorio, no me funcionaba el login, si de pronto están lidiando con el mismo problema, en mi caso pude detectar que era debido a las cookies, para solucionarlo cambie el siguiente fragmento del codigo en la ruta /backend/auth/index.js del proyecto:

module.exports = function (httpRequestsTotal, dbConfig) {
 
             res.cookie('main_session', sessionEncoded, {
                 httpOnly: false, // cookie is not accessible via JavaScript
-                secure: true, // https only
+                secure: false, // https only
                 sameSite: 'strict', // cookie is not sent in cross-site requests
                 maxAge: 1000 * 60 * 60 * 24 * 30 // 30 days
             });

Maximiliano Andrés Espinoza

Estudiante

no pude terminar este ejercicio, alguien que explique un paso a paso de como ejecutar el despliegue del laboratorio, ya tengo todo instalado y configurado, burpsuite, foxyproxy, git, docker, docker-compose, etc.

necesito que me den una mano para poder desplegar el laboratorio, ya me situe en la rama vulnerable pero no pasa nada. nose si hay que situarse en esa rama y hacer el docker-compuse -f .... up o situarse en la rama de A01broken.....

ayuda por favor.

Maximiliano Andrés Espinoza

Estudiante

No explica absolutamente nadaaaaaaaaaaaaaaaaaaaa, ni como instalar Docker, ni como ejecutar la app, ni como configurar burpsuite o proxyfoxy. Por suerte uno se da idea por estudiar informática y busca en google, youtube, chatgpt pero la idea era que explicara como desplegar el laboratorio, nos tiro al desierto nomas.

julian andres caracas

Estudiante

la verdad quede muy insatisfecho con esta primera prueba.. a pesar de que hay una documentación donde se explica como instalar cada herramienta a utilizar, el profesor no puede pretender pensar que ya conocemos como utilizar las herramientas, de saber no estariamos viendo estos cursos, otra cosa es que no se si solo me paso a mi.. pero sigue las indicaciones y en el proyecto me pare en la rama del primero ejercicio git checkout A01-BrokenAccessControl pero veo que el codigo ya esta corregido, por ende no me sale ningun problema, contrario a lo que se ve en el video

Cesar Pich

Estudiante

hay muchos huecos en la información para la instalación de la aplicación vulnerable, la gente termina por desesperarce y no hacer el curso es muy dificil la instalación

el paso que falta es hacer la instalacion de

sudo apt install docker-compose up --build

en kali linux

Frank Camilo Atencio Loreth

Estudiante

Me he quedado en blanco con Burp Suite

Josadec Pedraza

Estudiante

Porque selecciona hasta el signo de "%" que pasa si selecciona el "%" + "3D" del main_session?

Nota: espero que no sea una pregunta tonta

Alen Martinez

Estudiante

Buena pregunta y buenisima observación que no explico el profesor.

A veces se agrega caracteres demás (salting) antes de guardar el token para que así sea un poco mas seguro.

Juan José Mamani Tarqui

Estudiante

Como hago los ejercicios en KaliLinux Vmware?

Diego Fernando Ramos Aguirre

Estudiante

A mi se me hizo mas fácil bajar la ISO y hacer la instalación en limpio en el virtualizador.

Carlomag Mejia Alarcon

Estudiante

estoy realizando la escuela de ciberseguridad , se supone que estoy realizando una ruta de aprendizaje que va en orden y hasta este punto en este video creo que fue un salto enorme al empezar a aplicar conceptos que no han enseñado segun la ruta.. quedo en este punto sin saber q hacer

Diesan Romero

Estudiante

Básicamente, validar información de autorización a nivel de cliente, puede no ser tan factible por este tipo de vulnerabilidades. Siempre es mejor hacerlo a nivel de backend y base de datos.

module.exports = function (httpRequestsTotal, dbConfig) {
 
             res.cookie('main_session', sessionEncoded, {
                 httpOnly: false, // cookie is not accessible via JavaScript
-                secure: true, // https only
+                secure: false, // https only
                 sameSite: 'strict', // cookie is not sent in cross-site requests
                 maxAge: 1000 * 60 * 60 * 24 * 30 // 30 days
             });

Broken Access Control con Burp Suite

Introducción a OWASP Top 10

OWASP Top 10: Mejores Prácticas de Seguridad en Aplicaciones Web

Seguridad de Aplicaciones con OBS Top 10 y Herramientas Prácticas

Configuración de Herramientas para Prácticas de Seguridad en Laboratorio

Análisis de Vulnerabilidades OWASP Top 10 2021

Cómo utilizar el Top 10 de riesgos en aplicaciones