G 5.172 Umgehung der Autorisierung bei Webanwendungen

Wenn ein Benutzer sich ordnungsgemäß an einer Webanwendung angemeldet hat, so hat er (in Abhängigkeit von der ihm zugewiesenen Rolle) nicht zwangsläufig Zugriff auf alle Funktionen der Webanwendung. Daher muss die Webanwendung nach erfolgreicher Authentisierung des Benutzers für einzelne Funktionen verifizieren, ob der angemeldete Benutzer für die Ausführung berechtigt ist (Autorisierung).

Bei Angriffen gegen die Autorisierungskomponente einer Webanwendung wird versucht, auf Funktionen oder Daten zuzugreifen, die eigentlich nur einer eingeschränkten Benutzergruppe zur Verfügung stehen. Ist die Autorisierung der Zugriffe durch die Webanwendung fehlerhaft umgesetzt, kann ein Angreifer seine Berechtigungen erweitern und Zugriff auf geschützte Bereiche und Daten der Webanwendung erhalten. Dies geschieht üblicherweise durch gezielte manipulierte Eingaben eines Angreifers.

Denkbare Angriffsziele sind z. B. Konfigurationsdateien mit fest kodierten Zugangsdaten für Hintergrundsysteme, geschützte Bereiche oder Funktionen der Webanwendung.

Im Folgenden werden mögliche Schwachstellen bei der Autorisierung von Zugriffen auf Web-Ressourcen aufgeführt.

Beispiele: