Kategorie: Broken-Access-Control

Mehr als nur IDOR Im ersten Teil haben wir gesehen, dass Broken Access Control (BAC) entsteht, wenn eine Anwendung nicht zuverlässig prüft, ob ein Nutzer für eine bestimmte Aktion berechtigt ist. Ein Spezialfall davon ist IDOR – aber BAC umfasst noch viele weitere Szenarien. In diesem Artikel schauen wir uns die typischen Formen an, die…

Der erste Schritt: Rollen verstehen Bevor man testet, muss man die Rollen und Berechtigungen der Anwendung kennen. Typische Rollen sind Gast, eingeloggter Nutzer, Moderator, Admin.Ein guter Test beginnt damit, alle Rollen durchzuspielen und zu notieren, welche Aktionen eigentlich erlaubt sein sollten.Das Ziel: Abweichungen finden zwischen dem, was die App vorgibt, und dem, was technisch tatsächlich…

Das Fundament: Zugriffskontrolle ernst nehmen Broken Access Control (BAC) zählt nicht umsonst zu den gefährlichsten Schwachstellen in den OWASP Top 10. Die gute Nachricht: Mit klaren Regeln und Best Practices lassen sich die meisten Probleme vermeiden. Entscheidend ist, Zugriffskontrolle als zentrales Thema in der Architektur zu behandeln, nicht als nachträgliches Detail. Autorisierung auf Server-Seite Die…

Türen ohne Türsteher Stell dir vor, ein Bürogebäude hat zwar viele Türen, aber niemand prüft, wer welche Räume betreten darf. Jeder, der einmal ins Gebäude kommt, kann plötzlich ins Chefbüro, ins Archiv oder in die Personalakte.Genau das passiert im digitalen Raum, wenn Anwendungen keine sauberen Zugriffskontrollen haben – und diese Schwachstelle trägt den Namen Broken…

Broken Access Control als Dauerbrenner Kaum eine Schwachstelle taucht so beständig in Sicherheitsberichten auf wie Broken Access Control (BAC). In den OWASP Top 10 steht sie seit Jahren ganz oben – zuletzt sogar auf Platz 1. Das zeigt: Auch wenn Entwickler*innen immer mehr über SQL-Injections, XSS und Co. wissen, ist die fehlerhafte Zugriffskontrolle nach wie…