Failure to Restrict URL Access

Kritische Informationen in einer Web-Anwendung werden häufig lediglich dadurch geschützt, dass die entsprechende URL einem unautorisierten Benutzer nicht angezeigt wird oder nicht bekannt ist. Für eine Attacke lässt sich das ausnutzen, indem die URL direkt angesprochen wird. Die bekannteste Angriffsmethode, die diese Lücke missbraucht, nennt sich "Forced Browsing": Der Angreifer versucht, durch systematisches "Ausprobieren" ungeschützte Seiteninhalte oder Anwendungsfunktionen zu identifizieren und darauf zuzugreifen. Das Ziel ist häufig, versteckte Dateien oder URLs ausfindig zu machen, die bei der Implementierung der Berechtigungen übersehen wurden. Für den Betreiber einer Web-Anwendung sind solche Schwachstellen besonders brisant, da ein Angreifer Informationen über deren Aufbau und Struktur gewinnt oder sogar Zugriff auf administrative Funktionen der Seite erhält.

Fazit

Die OWASP Top Ten liefern einen umfassenden Überblick über die aktuell gefährlichsten Schwächen in Web-Anwendungen. Zu den einzelnen Sicherheitslücken gibt es auf der Web-Seite der Organisation (www.owasp.org) neben detaillierten Beschreibungen Bewertungen der jeweiligen Gefahren sowie einen entsprechenden Maßnahmenkatalog. OWASP, das sein Top-Ten-Projekt primär als "Aufklärungs-Dokument" definiert, rät, Sicherheitsfragen beim Entwickeln einer Web-Anwendung von Beginn an zu beachten. Dazu stellt die Gruppe zahlreiche weitere unterstützende Projekte bereit (etwa Development Guide, Code Review Guide, Testing Guide). Sämtliche Informationsmaterialien und Tools, die von OWASP zur Verfügung gestellt werden, sind unter anerkannten Free-and-Open-Source-Software-Lizenzen veröffentlicht und somit für jeden frei zugänglich. (kf)