Missing Authorization
The product does not perform an authorization check when an actor attempts to access a resource or perform an action.
Assuming a user with a given identity, authorization is the process of determining whether that user can access a given resource. When authorization checks are completely missing, any authenticated user can access protected resources.
Cómo corregir esta vulnerabilidad
Estrategias de prevención para Missing Authorization basadas en 3 reglas de detección de Shoulder.
Require human approval for sensitive operations and limit agent loop iterations
- for _, toolCall := range resp.Choices[0].Message.ToolCalls { + var sensitiveOps = map[string]bool{ + "deleteUser": true, "transferFunds": true, "sendEmail": true, + } + + for i, toolCall := range resp.Choices[0].Message.ToolCalls { + if i >= maxIterations { + break + } + if sensitiveOps[toolCall.Function.Name] { + queueForApproval(toolCall) + continue + } result, _ := tools[toolCall.Function.Name](toolCall.Function.Arguments) results = append(results, result) }
Encuentra vulnerabilidades en tu código
Usa Shoulder para escanear tu código en busca de patrones Missing Authorization. 3 reglas.
# Scan with Shoulder CLI npx @shoulderdev/cli trust --cwe=862 # Or scan entire project npx @shoulderdev/cli trust .
Reglas de Detección (3)
Qué buscar en las revisiones de código
Estos patrones indican vulnerabilidades potenciales de Missing Authorization. Búscalos durante las revisiones de código y auditorías de seguridad.
Escanea tu base de código para Missing Authorization
Shoulder CLI encuentra patrones vulnerables en toda tu base de código.