OWASP Top Ten: A4 – Unsichere direkte Objektreferenzen

von Dr. Martin Klein Hennig

In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erklären wir das Gefahrenpotential von sogenannten direkten Objektreferenzen (engl. „Insecure direct object references“). Dabei handelt es sich um eine simple, häufig übersehene Sicherheitslücke mit großen Auswirkungen. Sie kann überall dort auftreten, wo verschiedene Benutzer mit verschiedenen horizontalen Berechtigungsstufen auf die Ressourcen bzw. Inhalte der Webapplikation zugreifen. Durch das Ändern von Parametern einer Browseranfrage kann ein potentieller Angreifer dann möglicherweise Inhalte aufrufen, welche gar nicht für seine Berechtigungsstufe bestimmt sind.

Beispiel

Ein Kunde loggt sich in eine Webapplikation ein, um seine Stammdaten zu ändern. In der Applikation gibt es dafür einen Link im Menü. Dieser Link zum Aktualisierungsformular lautet

https://www.example.com/aktual_stammdaten.php?kdn=1337

Hier wird der Parameter „kdn“, der wahrscheinlich für „Kundennummer“ steht, direkt in der URL übergeben. Dies entspricht einer direkten Objektreferenz ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK