Alternativa correta: C (Certo)

Tema central: Esta questão aborda a elevação de privilégios em aplicações web, um conceito fundamental em segurança da informação. Entender esse tema é vital para quem deseja atuar em ambientes onde a proteção contra ataques digitais é prioridade.

Resumo teórico: Em sistemas seguros, cada usuário possui permissões específicas de acordo com seu perfil – por exemplo, usuários comuns têm menos permissões que administradores. Elevação de privilégios ocorre quando alguém consegue obter permissões superiores às que lhe foram concedidas originalmente. Isso pode acontecer de duas formas:

• Vertical: Um usuário comum passa a ter privilégios de administrador.
• Horizontal: Um usuário comum acessa dados de outro usuário comum sem autorização.

Este tipo de falha está diretamente relacionado a problemas no controle de acesso da aplicação web, conforme abordado em referências como a OWASP Top 10 (A01 – Broken Access Control).

Justificativa da alternativa correta: O enunciado descreve dois cenários clássicos de falha de controle de acesso:

• Usuário não autenticado agindo como autenticado: Isso significa que a autenticação foi burlada.
• Usuário autenticado comum agindo como administrador: Configura elevação de privilégio vertical.

Ambos representam falhas graves de segurança, sendo corretamente classificados como falhas de elevação de privilégios relacionadas ao controle de acesso.

Estratégia para resolver questões assim:

• Identifique termos-chave como privilégios, controle de acesso e autenticação.
• Lembre-se: se há acesso indevido ou privilégio acima do autorizado, trata-se de elevação de privilégios.
• Cuidado com pegadinhas: não confunda elevação de privilégios com falhas de autenticação apenas ou com outros tipos de ataques, como phishing ou negação de serviço.

Conclusão: A alternativa C (Certo) está correta, pois identifica e classifica corretamente a falha de segurança descrita no enunciado. Reconhecer este tipo de vulnerabilidade é essencial para a proteção de sistemas web.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

JUSTIFICATIVA - Certo. O controle de acesso aplica a política de modo que os usuários não possam agir fora de das permissões pretendidas. Falhas normalmente levam à divulgação não autorizada de informações, modificação ou destruição de todos os dados ou à execução de uma função comercial fora dos limites do usuário.

O mundo produz ondas. Surfar ou se afogar, você decide.

Sim, a afirmação está correta. Vamos detalhar:

1. **Elevação de Privilégios**:

  - A **elevação de privilégios** ocorre quando um usuário consegue acessar funcionalidades ou dados além do que seu nível de permissão permite. Isso pode acontecer de duas formas:

   - **Vertical**: Um usuário comum obtém acesso a recursos reservados a administradores.

   - **Horizontal**: Um usuário acessa recursos de outro usuário com o mesmo nível de permissão.

2. **Cenários Descritos**:

  - **Usuário não autenticado agindo como autenticado**: Isso ocorre quando a aplicação não valida adequadamente se o usuário está autenticado antes de permitir o acesso a recursos restritos. Por exemplo, se um endpoint da API não verifica a autenticação, um atacante pode acessar dados ou funcionalidades sem precisar fazer login.

  - **Usuário comum agindo como administrador**: Isso acontece quando a aplicação não verifica corretamente as permissões do usuário autenticado. Por exemplo, se um usuário comum consegue acessar uma página ou função administrativa simplesmente alterando um parâmetro na URL ou em uma requisição.

3. **Falha de Controle de Acesso**:

  - Ambos os cenários descritos são exemplos de **falhas de controle de acesso**, que permitem que usuários realizem ações além de suas permissões designadas. Essas falhas são classificadas como **elevação de privilégios** e estão entre as vulnerabilidades mais críticas em aplicações web.

4. **Impacto**:

  - A elevação de privilégios pode levar a:

   - Exposição de dados sensíveis.

   - Modificação ou exclusão não autorizada de dados.

   - Comprometimento de toda a aplicação ou sistema.

5. **Prevenção**:

  - Para evitar essas falhas, é essencial implementar:

   - **Autenticação robusta**: Garantir que apenas usuários autenticados possam acessar recursos restritos.

   - **Controle de acesso baseado em funções (RBAC)**: Verificar as permissões do usuário antes de permitir o acesso a funcionalidades ou dados.

   - **Validação rigorosa**: Não confiar em parâmetros fornecidos pelo cliente (como IDs de usuário ou níveis de permissão) sem validação no servidor.

   - **Testes de segurança**: Realizar testes regulares, como pentests e revisões de código, para identificar e corrigir falhas de controle de acesso.

### Conclusão

A possibilidade de um usuário não autenticado agir como autenticado ou de um usuário comum agir como administrador é, de fato, uma **falha de elevação de privilégios** relacionada ao controle de acesso. Essa vulnerabilidade pode ter sérias consequências e deve ser mitigada com boas práticas de desenvolvimento e segurança.

Gabarito Certa

"a possibilidade de um usuário não autenticado agir como um usuário autenticado": Isso é uma forma de elevação de privilégios. Um atacante consegue burlar o processo de autenticação (seja por falha na implementação da sessão, por credenciais fracas, etc.) e obter acesso a recursos que deveriam ser restritos a usuários logados.

"ou de um usuário comum autenticado agir como um administrador": Esta é a forma clássica de elevação de privilégios. Um usuário com privilégios limitados (comum) consegue, devido a falhas no controle de acesso, executar ações ou acessar dados que são exclusivos de um usuário com privilégios mais elevados (administrador).

"representa falha de segurança de elevação de privilégios": Ambas as situações descritas são, por definição, falhas de elevação de privilégios. O atacante ou o usuário comum está agindo com um nível de autorização superior ao que lhe é devido.

"relacionada ao controle de acesso da aplicação.": O controle de acesso é o mecanismo que define e impõe quem pode acessar quais recursos e realizar quais ações. Falhas que permitem a elevação de privilégios são diretamente resultantes de um controle de acesso deficiente ou mal implementado.

Portanto, a afirmação descreve corretamente uma falha de segurança de elevação de privilégios, que é uma das categorias mais críticas de vulnerabilidades de controle de acesso.

Retroceder Nunca Render-se Jamais !

Força e Fé !

Fortuna Audaces Sequitur ! 

Como o usuário não autenticado terá privilégio de autenticado se nem autenticado ele estava ainda ? O privilégio serve para alguém que já está autenticado, então a primeira parte da questão não tem lógica e por isso deveria ser considerada ERRADA.

Até o obvio da pra suspeitar