CWE ID: 285
Name: Improper Authorization
Das Produkt führt keine Autorisierungsprüfung durch oder führt diese fehlerhaft aus, wenn ein Actor versucht, auf eine Ressource zuzugreifen oder eine Aktion auszuführen.
Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass Sie Access Control Checks im Zusammenhang mit Ihrer Business Logic durchführen. Diese Checks können sich von den Access Control Checks unterscheiden, die Sie auf generischere Ressourcen wie Dateien, Verbindungen, Prozesse, Speicher und Datenbankeinträge anwenden. Beispielsweise kann eine Datenbank den Zugriff auf medizinische Daten auf einen bestimmten Datenbankbenutzer beschränken, während jeder einzelne Datensatz möglicherweise nur für den Patienten und den Arzt des Patienten zugänglich sein soll.
Effektivität: Unknown
Beschreibung: Nutzen Sie die Access Control Capabilities Ihres Betriebssystems und Ihrer Serverumgebung und definieren Sie Ihre Access Control Lists (ACLs) entsprechend. Verwenden Sie eine “Default Deny”-Policy bei der Definition dieser ACLs.
Eine Access Control List (ACL) repräsentiert, wer oder was Berechtigungen für ein bestimmtes Objekt besitzt. Verschiedene Betriebssysteme implementieren ACLs auf unterschiedliche Weise. In UNIX gibt es drei Arten von Berechtigungen: lesen, schreiben und ausführen. Benutzer werden für den Dateizugriff in drei Klassen unterteilt: Eigentümer, Gruppenbesitzer und alle anderen Benutzer, wobei jede Klasse einen separaten Satz von Rechten besitzt. In Windows NT gibt es vier grundlegende Arten von Berechtigungen für Dateien: “Kein Zugriff”, “Lesender Zugriff”, “Ändernder Zugriff” und “Vollständige Kontrolle”. Windows NT erweitert das Konzept der drei Benutzertypen in UNIX um eine Liste von Benutzern und Gruppen zusammen mit ihren zugehörigen Berechtigungen. Ein Benutzer kann ein Objekt (Datei) erstellen und diesem Objekt spezifische Berechtigungen zuweisen.
