OWASP Top Ten: A7 – Fehlerhafte Autorisierung auf  Anwendungsebene

von Michael Cyl

Welche Auswirkungen eine fehlerhafte Autorisierung auf Anwendungsebene haben kann und was Sie dagegen unternehmen können, zeigt unser heutiger Beitrag aus der OWASP Top Ten Reihe.

Grundsätzlich entsteht eine fehlerhafte Autorisierung auf Anwendungsebene durch eine fehlende oder unzureichende serverseitige Überprüfung von Zugriffsberechtigungen. Die Sicherheitslücke tritt weiterhin auf, wenn die Berechtigungsprüfung ausschließlich auf Parametern basiert, welche durch den Benutzer bzw. Angreifer an die Webanwendung übergeben wurden. Als Folge besteht häufig die Möglichkeit, die existierenden Zugriffsrechte auf vertikaler Ebene auszuweiten, das heißt ein normaler Benutzer der Webapplikation kann auf Funktionen für höher privilegierte bzw. administrative Anwender zugreifen. Eine horizontale Rechteausweitung, also der Zugriff auf die Daten anderer Benutzer, ist durch eine Manipulation von ID-Parametern ebenfalls möglich, sollte allerdings bereits durch die entsprechende Validierung oder noch besser durch Vermeidung von direkten Objektreferenzen verhindert werden.

Das Risiko von vertikalen Rechteausweitungen tritt vor allem in modernen Single-Page-Webanwendungen (englisch Single-Page-Application, kurz SPA), welche aus einem einzigen HTML-Dokument bestehen und die Daten dynamisch nachladen, wieder vermehrt auf. Dabei wird die Anwendungslogik – inklusive Session-Management – mit Hilfe von JavaScript-Frameworks, wie beispielsweise Angular, Durandal/Aurelia oder auch Ember, nahezu vollständig auf den Client (üblicherweise der Webbrowser) ausgelagert. Der zugrundliegende Webserver übernimmt dann je nach Anwendungsszenario in der Regel nur noch die Bereitstellung von statischen Ressourcen und verarbeitet die Daten über eine REST/SOAP-API, was die Webapplikation serverseitig zu einem reinen Webservice zusammenschrumpft. Das Problem ist dabei, dass eine Authentifizierung des Benutzers häufig nur einmal beim Start der Anwendung bzw ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK