Bundesamt für Sicherheit in der Informationstechnik

G 5.172 Umgehung der Autorisierung bei Webanwendungen und Web-Services

Wenn ein Benutzer oder ein Web-Service-Client sich ordnungsgemäß an einer Webanwendung oder einem Web-Service angemeldet hat, so hat er (in Abhängigkeit von der ihm zugewiesenen Rolle) nicht zwangsläufig Zugriff auf alle Funktionen, welche die Webanwendung oder der Web-Service bereitstellen. Daher muss die Webanwendung oder der Web-Service nach erfolgreicher Authentisierung des Benutzers oder des Clients für einzelne Funktionen verifizieren, ob dieser für die Ausführung berechtigt ist (Autorisierung).

Bei Angriffen gegen die Autorisierungskomponente wird versucht, auf Funktionen oder Daten zuzugreifen, die eigentlich nur einer eingeschränkten Benutzergruppe zur Verfügung stehen. Ist die Autorisierung der Zugriffe fehlerhaft umgesetzt, kann ein Angreifer seine Berechtigungen erweitern und Zugriff auf geschützte Bereiche und Daten erhalten. Dies geschieht üblicherweise durch gezielte manipulierte Eingaben eines Angreifers.

Denkbare Angriffsziele sind zum Beispiel Konfigurationsdateien mit fest codierten Zugangsdaten für Hintergrundsysteme, geschützte Bereiche oder Funktionen der Webanwendung.

Im Folgenden werden mögliche Schwachstellen bei der Autorisierung von Zugriffen auf Web-Ressourcen aufgeführt.

Beispiele:

  • Bei der Eingabe von Pfadangaben können über einen relativen Bezug (durch sogenanntes Path Traversal) nicht für den Zugriff über die Webanwendung vorgesehene Ressourcen abgerufen werden (zum Beispiel ../../../config.xml). Hierdurch können unbefugt schützenswerte Dateien wie Konfigurationsdateien aus dem Dateisystem heruntergeladen oder auch überschrieben werden. Über relative Pfadangaben lassen sich nicht nur Dateien der Webanwendung erreichen, sondern es können unter Umständen ebenso Ressourcen des darunter liegenden IT-Systems abgerufen werden.
  • Webanwendungen verwenden häufig Objekt-Referenzen zur Adressierung einer Ressource in Hintergrundsystemen (zum Beispiel http://host.tld/get.php?id=2). So können Ressourcen wie Inhalte zur Darstellung einer Webseite einem Datenbankeintrag zugeordnet werden. Werden Objekt-Referenzen von der Autorisierungskomponente nicht berücksichtigt, kann über eine Manipulation der Referenz id in der URL gegebenenfalls auf vertrauenswürdige Ressourcen zugegriffen werden.
  • Eine manchmal genutzte Möglichkeit Informationen einer Webanwendung zu schützen besteht darin, die URL, die diese Informationen verlinkt, nur autorisierten Benutzern anzuzeigen. Unautorisierten Benutzern ist die URL nicht bekannt. Ein Angreifer kann durch systematisches Ausprobieren versuchen, die URL zu erraten und so Zugriff auf geschützte Informationen beziehungsweise Funktionen der Webanwendung zu erhalten. Dieser Angriff wird "Forced Browsing" genannt.
  • Ist die Autorisierungskomponente eines Web-Service fehlerhaft konfiguriert, sodass sie zum Beispiel auch anonyme Zugriffe oder Zugriffe auf falsche Dienste erlaubt, so kann ein Unberechtigter diese Dienste aufrufen und sich so Zugang zu Daten und Funktionen verschaffen.

Stand: 14. EL Stand 2014