Se encuentra en:
Manejo de permisos en métodos de EJB
RECU-0544 (Recurso Ejemplo)
- Área: Control de Acceso y Autenticación
- Carácter del recurso: Obligatorio
- Tecnologías: EJB3, Java
Descripción
Si los derechos de acceso que se asignan a los métodos EJB no son restrictivos, entonces un atacante puede aprovecharse de los permisos para explotar el sistema. Es recomendable, seguir principio de mínimo privilegio en la asignación de derechos de acceso a métodos EJB. El permiso para invocar métodos EJB no se debe conceder a roles que no tengan asignados roles específicos (no utilizar ANYONE o cosas similares). Si el descriptor de despliegue EJB contiene uno o más permisos de métodos que garantizan el acceso al rol especial ANYONE, indica que el control de acceso de aplicación no ha sido plenamente tenido en cuenta. Un ejemplo de mala definición a evitar sería el siguiente.
Ejemplos
// El siguiente descriptor garantiza a ANYONE el permiso para invocar el método de getSalary de
la clase Employee
<ejb-jar>
...
<assembly-descriptor>
<method-permission>
<role-name>ANYONE</role-name>
<method>
<ejb-name>Employee</ejb-name>
<method-name>getSalary</method-name>
</method-permission>
</assembly-descriptor>
...
</ejb-jar>
Contenidos relacionados
Pautas
Código | Título | Tipo | Carácter | |
---|---|---|---|---|
LIBP-0254 | Control de acceso | Libro de pautas | Directriz | Obligatoria |