G 5.168 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Webanwendungen

Auf Webanwendungen wird gewöhnlich mit generischen Clients ( z. B. Web-Browsern) zugegriffen. Diese können üblicherweise durch den Nutzer konfiguriert und angepasst werden. Sie unterliegen damit nicht der Kontrolle der Webanwendung, sondern sind von einem Angreifer, der sich Zugriff verschafft hat, beliebig manipulierbar. So können clientseitige Sicherheitsfunktionen außer Kraft gesetzt werden. Sind keine zusätzlichen, serverseitigen Schutzmaßnahmen vorgesehen, kann ein Angreifer somit unbefugt auf Ressourcen der Webanwendung zugreifen.

Beispiele: