Schwachstellen
Horizontale Privilegieneskalation
Auch bekannt als: Horizontale EoP, Kontoübergreifender Zugriff
Definition
Schwachstelle, mit der ein Benutzer auf Ressourcen oder Aktionen eines anderen Benutzers gleicher Rechtsebene zugreifen kann, ohne höhere Rechte zu erlangen.
Beispiele
- Ändern der userId in /api/users/123/profile, um das Profil eines anderen Nutzers anzusehen.
- Multimandanten-Bug, durch den Mandant A Bestellungen von Mandant B abfragt.
Verwandte Begriffe
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
Vertikale Privilegieneskalation
Schwachstelle, durch die ein Benutzer mit geringen Rechten Rechte einer höheren Rolle erhält — typischerweise Administrator, Root oder SYSTEM.
Unsichere direkte Objektreferenz (IDOR)
Zugriffskontrollschwäche, bei der eine Anwendung Referenzen auf interne Objekte exponiert und Nutzer diese ändern können, um auf fremde Daten zuzugreifen.
Defekte Zugriffskontrolle
Schwachstellenklasse, in der Autorisierungsregeln fehlen oder falsch durchgesetzt werden, sodass Benutzer Aktionen oder Daten außerhalb ihrer Rechte erreichen.
Defekte Authentifizierung
Schwachstellenkategorie, in der Fehler bei Authentifizierung oder Sitzungsverwaltung es Angreifern erlauben, legitime Nutzer zu impersonieren oder Konten zu übernehmen.
API Security
API Security — definition coming soon.