10. Uneingeschränkter Zugriff auf URLs

Das Problem: Manche Web-Seiten sollen lediglich für eine kleine Gruppe privilegierter Nutzer - etwa Administratoren – zugänglich sein. Doch häufig verfügen diese Sites über keine echte Zugangskontrolle, so dass versierte Hacker die URLs ausfindig machen können. Die primäre Angriffsmethode, die diese Art von Schwäche ausnutzt, nennt sich "Forced Browsing" und beinhaltet das Erraten von Links sowie Brute-Force-Techniken zum Aufspüren ungeschützter Seiten, so der Report.

Beispiel: Über eine solche Schwachstelle auf der Web-Seite der diesjährigen Macworld Conference & Expo haben sich Nutzer kostenlos "Platinum"-Tickets im Wert von 1.700 Dollar sowie speziellen Zugriff auf eine Keynote von Steve Jobs verschafft. Der Fehler lag im Code, der Privilegien auf dem Client, nicht aber auf dem Server überprüfte.

Basis-Schutz: Laut Owasp sollten Unternehmen nicht davon ausgehen, dass Nutzer verborgene URLs oder APIs nicht bemerken. Sämtliche URLs und Business-Funktionen müssten demnach durch einen effektiven Zugangskontrollmechanismus geschützt sein, der Rollen und Privilegien der Nutzer verifiziert. (kf)