CyberGlossary

Schwachstellen

Mass Assignment

Auch bekannt als: Autobinding-Schwachstelle, Object Injection

Definition

Schwachstelle, bei der eine Anwendung vom Client übergebene Felder blind auf interne Objekteigenschaften abbildet, sodass Angreifer Felder setzen können, die ihnen nicht gehören sollten.

Mass Assignment entsteht, wenn Frameworks (Rails, Spring, ASP.NET, NestJS, Django) eingehendes JSON oder Formularfelder automatisch auf Modell-Attribute mappen, ohne explizite Allow-Liste. Ein Angreifer fügt zusätzliche Eigenschaften hinzu — isAdmin, role, balance, tenantId — die der Server in die Datenbank schreibt. Im Code Review ist die Lücke schwer zu erkennen, da die Zuweisung implizit erfolgt. Auch als Autobinding oder Object Injection bekannt. Schutz: explizite DTOs/Eingabeschemata, strikte Allow-Listen für bindbare Felder, Trennung interner Attribute von bindbaren Modellen, Sicherheitstests mit unerwarteten JSON-Schlüsseln.

Beispiele

  • Senden von {"name":"Bob","isAdmin":true} an /api/users — der Nutzer wird zum Admin.
  • Aktualisierung einer Bestellung mit verstecktem Rabattfeld per POST, um die Preislogik zu umgehen.

Verwandte Begriffe