Defekte Zugriffskontrolle
Was ist Defekte Zugriffskontrolle?
Defekte ZugriffskontrolleSchwachstellenklasse, in der Autorisierungsregeln fehlen oder falsch durchgesetzt werden, sodass Benutzer Aktionen oder Daten außerhalb ihrer Rechte erreichen.
Defekte Zugriffskontrolle ist das Risiko Nr. 1 der OWASP Top 10. Sie entsteht, wenn eine Anwendung nicht konsequent durchsetzt, wer was darf — fehlende serverseitige Prüfungen, Vertrauen in versteckte URLs (Security by Obscurity), Verlassen auf clientseitige Rollen, direkte Objektreferenzen ohne Eigentumsprüfung. Varianten: IDOR, Force-Browsing zu Admin-Seiten, Parameter-Tampering, Manipulation von JWT-Scopes. Folgen reichen von Informationsleck bis zur Komplettübernahme. Schutz: zentrale Autorisierungs-Middleware, Deny-by-Default, serverseitige Kontrollen jeder Aktion, gescopte Abfragen, gründliche Integrationstests, kontinuierliches DAST.
● Beispiele
- 01
Normaler Nutzer ruft /api/admin/users ohne Rollenprüfung auf und erhält die Volle Liste.
- 02
Ändern einer Dokument-UUID in der URL, um die Rechnung eines anderen Kunden zu lesen.
● Häufige Fragen
Was ist Defekte Zugriffskontrolle?
Schwachstellenklasse, in der Autorisierungsregeln fehlen oder falsch durchgesetzt werden, sodass Benutzer Aktionen oder Daten außerhalb ihrer Rechte erreichen. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Defekte Zugriffskontrolle?
Schwachstellenklasse, in der Autorisierungsregeln fehlen oder falsch durchgesetzt werden, sodass Benutzer Aktionen oder Daten außerhalb ihrer Rechte erreichen.
Wie schützt man sich gegen Defekte Zugriffskontrolle?
Schutzmaßnahmen gegen Defekte Zugriffskontrolle kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Defekte Zugriffskontrolle?
Übliche alternative Bezeichnungen: BAC, Autorisierungs-Bypass.