Broken Access Control

Copyright ┬ę Shutterstock / VideoFlow

Was ist Broken Access Control?

Broken Access Control ist eine typische Sicherheitsschwachstelle in Webanwendungen. Sie wird regelm├Ą├čig in der OWASP Top 10 aufgef├╝hrt, eine Liste h├Ąufiger Sicherheitsprobleme in Webanwendungen, die von der Organisation OWASP (Open Web Application Security Project) erstellt wird.

Beschreibung

Broken Access Control ist h├Ąufig ein Problem bei Anwendungen, deren Gr├Â├če in ihrer Versionsgeschichte zugenommen hat. Anstatt von Anfang an bewusst Schemata zu entwerfen, die den Zugriff regeln, wurde die Zugriffskontrolle unstrukturiert im Laufe der Zeit hinzugef├╝gt und erweitert. In F├Ąllen, in denen die Zugriffskontrolle nicht zentralisiert ist, sondern im Code verteilt an verschiedenen Stellen, f├╝hrt dies h├Ąufig zu schlechter ├ťberschaubarkeit und schwer verst├Ąndlicher Komplexit├Ąt.
Eine besonders gef├Ąhrliche Form von Broken Access Control sind Schnittstellen, ├╝ber die Administratoren eine Site ├╝ber das Internet verwalten k├Ânnen. Aufgrund ihrer M├Ąchtigkeit sind diese Schnittstellen h├Ąufig Ziel f├╝r Angriffe. Alle bekannten Server und Webanwendungsumgebungen sind f├╝r diese Art von Problemen anf├Ąllig. Selbst wenn eine Site vollst├Ąndig statisch ist, ist sie anf├Ąllig f├╝r Angriffe, sofern sie nicht ordnungsgem├Ą├č konfiguriert ist.

M├Âgliche Auswirkungen

Viele dieser fehlerhaften Zugangskontrollsysteme sind f├╝r Angreifer nicht schwer zu entdecken und auszunutzen.

H├Ąufig m├╝ssen nur Anfragen nach Funktionen oder Inhalten durchprobiert werden, die nicht gew├Ąhrt werden sollen. Wenn eine Schwachstelle entdeckt wird, k├Ânnen die Folgen das Offenlegen nicht autorisierter Inhalte sein, ein Angreifer kann m├Âglicherweise Inhalte ├Ąndern oder l├Âschen, nicht autorisierte Funktionen ausf├╝hren oder sogar die Verwaltung der ganzen Website ├╝bernehmen.

Vermeidung

Nahezu alle Sites haben Zugriffskontrollanforderungen. Daher sollte eine Zugangskontrollpolitik klar dokumentiert und Richtlinien zur Umsetzung durchgesetzt werden. Der Code f├╝r Zugriffskontrolle sollte gut strukturiert, modular und zentralisiert sein. Ein Penetrationstest kann helfen, um festzustellen, ob Broken Access Control-Probleme vorliegen. Jede Schnittstelle f├╝r administrative Remote-Zugriffe ist besonders sorgf├Ąltig zu pr├╝fen, um sicherzustellen, dass nur Autorisierte Zugriff haben, und auch nur gem├Ą├č ihrer unterschiedlichen Rollen.

Tipp

Wenn f├╝r solche Schnittstellen externe Befehle verwendet werden, ist dieser Mechanismus auf die OWASP-Schwachstelle Injection zu ├╝berpr├╝fen.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte