Mass Assignment
Was ist Mass Assignment?
Mass AssignmentSchwachstelle, bei der eine Anwendung vom Client übergebene Felder blind auf interne Objekteigenschaften abbildet, sodass Angreifer Felder setzen können, die ihnen nicht gehören sollten.
Mass Assignment entsteht, wenn Frameworks (Rails, Spring, ASP.NET, NestJS, Django) eingehendes JSON oder Formularfelder automatisch auf Modell-Attribute mappen, ohne explizite Allow-Liste. Ein Angreifer fügt zusätzliche Eigenschaften hinzu — isAdmin, role, balance, tenantId — die der Server in die Datenbank schreibt. Im Code Review ist die Lücke schwer zu erkennen, da die Zuweisung implizit erfolgt. Auch als Autobinding oder Object Injection bekannt. Schutz: explizite DTOs/Eingabeschemata, strikte Allow-Listen für bindbare Felder, Trennung interner Attribute von bindbaren Modellen, Sicherheitstests mit unerwarteten JSON-Schlüsseln.
● Beispiele
- 01
Senden von {"name":"Bob","isAdmin":true} an /api/users — der Nutzer wird zum Admin.
- 02
Aktualisierung einer Bestellung mit verstecktem Rabattfeld per POST, um die Preislogik zu umgehen.
● Häufige Fragen
Was ist Mass Assignment?
Schwachstelle, bei der eine Anwendung vom Client übergebene Felder blind auf interne Objekteigenschaften abbildet, sodass Angreifer Felder setzen können, die ihnen nicht gehören sollten. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Mass Assignment?
Schwachstelle, bei der eine Anwendung vom Client übergebene Felder blind auf interne Objekteigenschaften abbildet, sodass Angreifer Felder setzen können, die ihnen nicht gehören sollten.
Wie schützt man sich gegen Mass Assignment?
Schutzmaßnahmen gegen Mass Assignment kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Mass Assignment?
Übliche alternative Bezeichnungen: Autobinding-Schwachstelle, Object Injection.