0/23Evaluados
0Conformes
0No Conformes
0OM
VERIFICAR
V-02
Prueba

A.8.29 ISO 27002:2022 + OWASP API Security Top 10 (2023)

¿Los endpoints críticos de la API resisten ataques de abuso funcional: enumeración de recursos, manipulación de parámetros de tenant y Broken Object Level Authorization (BOLA/IDOR)?

Descripción de la prueba

Autenticarse como un usuario del tenant 2 (Transportes Manuela Beltrán). Ejecutar peticiones GET contra recursos de OTROS tenants modificando el path o el parámetro tenant_id en el query string. Probar enumeración secuencial de IDs (manifiestos, conductores, facturas) y validar si el API retorna datos pertenecientes a otros clientes con un token válido propio.

Evidencia / Muestreo esperado

Reporte de pruebas con headers de autenticación, payloads y respuestas. Evidencia de denegación o filtración de datos transversales entre tenants. Si una petición autenticada como tenant 2 retorna recursos de tenant 1, constituye BOLA y configura no conformidad crítica.

Justificación contextual OmniControl

El riesgo de acceso lateral entre tenants en un SaaS multi-tenant de 60 clientes es catastrófico según la Matriz de Partes Interesadas. OWASP API Security Top 10 identifica BOLA (API1:2023) como el riesgo más crítico en APIs multi-tenant. Las APIs de DIAN y RNDC procesan documentos fiscales y manifiestos con valor legal directo.

Qué buscar como auditor
  • 01¿GET /api/conductores/{id} con id de OTRO tenant retorna 403/404?
  • 02¿La autorización se valida en endpoints de detalle, no solo en listados?
  • 03¿El API distingue entre 'no existe' y 'no autorizado' (información leak)?
  • 04¿Hay un patrón consistente de validación de tenant_id en middleware?
  • 05¿Los logs de WAF/API Gateway registran intentos de acceso cross-tenant?

Artefactos para ejecutar la prueba

Herramienta
API Tester — Pruebas BOLA multi-tenant
Cliente HTTP con presets para pruebas de Broken Object Level Authorization entre tenants
Interpretación según contexto OmniControl

La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.

Recomendación del auditorOculta

La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.

Hallazgo del auditor
Clasificación del hallazgo
Control anterior (V-01)Siguiente control (V-03)