G 5.169 Unzureichendes Session-Management von Webanwendungen

Da das von Webanwendungen verwendete Protokoll HTTP zustandslos ist, wird der Benutzer der Webanwendung über die Dauer einer Sitzung mittels einer SessionID identifiziert. Kann eine dritte Person aufgrund eines unzureichenden Session-Managements die SessionID ermitteln, so kann sie die Webanwendung im Kontext dieser Sitzung verwenden. Dies hat z. B. zur Folge, dass ein Angreifer mit der Webanwendung als legitimer authentisierter Benutzer interagieren kann, ohne die eigentlichen Zugangsdaten (Benutzername, Passwort) zu kennen.

Die Funktionalität der Webanwendung kann somit von Dritten mit den Rechten des legitimen Benutzers genutzt werden, um unbefugt auf schützenswerte Daten zuzugreifen oder Befehle auszuführen.

Die folgenden Beispiele beschreiben Szenarien, die zu einer kompromittierten Sitzung führen können.