Broken Access Control | OWASP #1 Analysis

Detekce: Rozdíl mezi incidentem a katastrofou

Security Logging and Monitoring Failures nezpůsobují přímý průnik, ale určují, jak dlouho útočník v systému zůstane (tzv. Dwell Time). Bez kvalitního logování je organizace "slepá" a útočník může nerušeně exfiltrovat data po měsíce. V BBP hunteři sledují, zda aplikace detekuje anomálie nebo zda jim dovolí provádět agresivní fuzzing bez odezvy.

Kdy systém selhává:

Invisible Attacks: Útoky na autentizaci nebo eskalaci práv nejsou zaznamenány.
Lack of Real-time Alerting: Logy existují, ale nikdo na ně nereaguje v reálném čase.
Local-only Storage: Logy jsou uloženy na stejném serveru jako aplikace (snadný cíl pro smazání po kompromitaci).
Insufficient Context: Log obsahuje chybu, ale neobsahuje kdo, odkud a jak ji vyvolal.

Anatomie útoku na integritu logů

Útočníci se aktivně snaží logovací systémy oslepit nebo zmást. Jako hunter bys měl rozumět těmto technikám:

Log Injection (CRLF)

Vložením znaků \r\n do vstupu útočník vytvoří v logu falešné řádky.
Příklad: admin\n[INFO] Login successful může zmást automatické skenery i lidské analytiky.

Log Overwhelming (DoS)

Zahltit logovací server miliony nepodstatných zpráv, aby v šumu zanikly záznamy o skutečném útoku nebo aby došlo k vyčerpání místa na disku.

Strukturované logování vs. Chaos

Aby byl monitoring efektivní, musí být logy čitelné stroji. Zapomeň na textové řetězce, budoucnost je v JSON formátu odesílaném do SIEM (Security Information and Event Management).

siem_monitor — event_stream

{
  "timestamp": "2026-01-25T14:20:01Z",
  "event_type": "AUTH_FAILURE",
  "user_id": "9982",
  "source_ip": "192.168.1.55",
  "user_agent": "Mozilla/5.0 (Hydra_BruteForce_Tool)",
  "severity": "CRITICAL",
  "action": "BLOCK_IP"
}
# ALERT: Brute-force pattern detected. IP blocked automatically via SOAR.

Moderní monitoring: SIEM, SOAR a Cloud

V roce 2026 už nestačí jen logovat na disk. Moderní infrastruktura využívá:

SIEM (Kibana/Splunk): Agregace logů z tisíců zdrojů a hledání korelací (např. "proč se uživatel přihlásil z Prahy a o minutu později z Tokia?").
SOAR: Automatizovaná reakce. Pokud SIEM zjistí útok, SOAR automaticky změní pravidlo na firewallu.
CloudWatch / Azure Monitor: Specifické nástroje pro efemérní (dočasné) kontejnery.

Prevence: Jak neoslepnout

Neprotokolujte citlivá data: Hesla, čísla karet a session tokeny nesmí být v logu (Pravidlo o ochraně soukromí).
Zajistěte integritu: Logy odesílejte přes šifrovaný kanál (TLS) na server, kde má útočník pouze právo zápisu, nikoliv čtení nebo mazání.
Monitorujte monitoring: Nastavte alarm na situaci, kdy přestanou logy ze serveru chodit (může to znamenat, že ho útočník vypnul).
Časová synchronizace: Všechny servery musí používat NTP pro synchronizaci času, jinak nelze incidenty rekonstruovat.