Broken Access Control als Dauerbrenner
Kaum eine Schwachstelle taucht so beständig in Sicherheitsberichten auf wie Broken Access Control (BAC). In den OWASP Top 10 steht sie seit Jahren ganz oben – zuletzt sogar auf Platz 1. Das zeigt: Auch wenn Entwickler*innen immer mehr über SQL-Injections, XSS und Co. wissen, ist die fehlerhafte Zugriffskontrolle nach wie vor ein zentrales Problem.
Warum? Weil BAC kein „klassischer Bug“ ist, sondern oft ein Design- oder Architekturfehler. Es reicht nicht, an einer Stelle etwas zu patchen – man muss den gesamten Ansatz für Autorisierung im Blick behalten.
Häufige Missverständnisse
Viele Teams tappen immer wieder in dieselben Fallen:
- „Wir haben Login, also sind wir sicher.“
Falsch. Authentifizierung (Wer bist du?) ist nicht gleich Autorisierung (Was darfst du?). - „Das Frontend blendet Buttons aus, also passt das.“
Unsicher. Auch wenn der Button „Löschen“ im UI fehlt, kann der Endpunkt im Hintergrund trotzdem erreichbar sein. - „UUIDs verhindern BAC.“
Sie erschweren zwar das Erraten von IDs, aber ohne Autorisierungsprüfung lassen sich auch UUIDs missbrauchen.
Verknüpfung mit anderen Schwachstellen
Broken Access Control tritt oft nicht allein auf, sondern im Zusammenspiel mit anderen Schwachstellen:
- Cross-Site Request Forgery (CSRF): Wenn Autorisierung schwach ist, kann CSRF besonders gefährlich sein, weil Angreifer Aktionen im Namen eines eingeloggten Nutzers ausführen.
- Security Misconfiguration: Schlechte Server- oder Framework-Einstellungen führen oft dazu, dass Endpunkte ungewollt offen sind.
- IDOR: Wie wir in der vorherigen Serie gesehen haben, ist IDOR ein direkter Spezialfall von BAC.
Das macht deutlich: Zugriffskontrolle ist eine Querschnittsaufgabe.
Ressourcen zum Weiterlernen
Praktische Labs und Testumgebungen
- OWASP Juice Shop: Eine absichtlich unsichere Web-App mit vielen BAC-Szenarien.
- PortSwigger Web Security Academy: Interaktive Labs zu Zugriffskontrolle, mit Schritt-für-Schritt-Erklärungen.
- OWASP WebGoat: Lehrreiche Beispiel-App, die gezielt BAC-Fehler demonstriert.
Offizielle Leitfäden
- OWASP Access Control Cheat Sheet: Best Practices kompakt.
- OWASP Top 10: Überblick über die wichtigsten Schwachstellen, inklusive BAC.
Community & Praxis
- Bug-Bounty-Reports auf Plattformen wie HackerOne oder Bugcrowd zeigen echte BAC-Fälle – oft mit detaillierten Reproduktionen.
- Security-Foren und Konferenzvorträge (z. B. Black Hat, OWASP AppSec) liefern aktuelle Trends.
Best Practices für den Alltag
Zum Abschluss ein kleiner Werkzeugkasten für Entwickler-Teams:
- Design-Phase: Zugriffskontrolle bewusst einplanen (z. B. mit Threat Modeling).
- Entwicklung: Frameworks nutzen, statt eigene Lösungen zu basteln.
- Testing: Systematisch Rollen, Rechte und Endpunkte durchtesten.
- Betrieb: Logging, Monitoring und regelmäßige Security-Reviews einbauen.
So entsteht ein Kreislauf, in dem BAC nicht nur entdeckt und gefixt, sondern langfristig verhindert wird.
Was du mitnehmen solltest
- Broken Access Control ist mehr als nur ein Bug – es ist oft ein Architekturproblem.
- Häufige Irrtümer („Login reicht“, „Frontend versteckt Buttons“) führen immer wieder zu Lecks.
- Praktische Labs wie Juice Shop oder die Web Security Academy helfen beim Lernen.
- Zugriffskontrolle muss über den gesamten Lebenszyklus einer Anwendung bedacht werden – von der Planung bis zum Betrieb.
Schreibe einen Kommentar