CWE ID: 425
Name: Direct Request (‘Forced Browsing’)
Die Webanwendung erzwingt keine angemessene Authorization für alle eingeschränkten URLs, Skripte oder Dateien.
Webanwendungen, die anfällig für Direct Request Attacks sind, treffen oft die fehlerhafte Annahme, dass solche Ressourcen nur über einen bestimmten Navigation Path erreichbar sind und wenden daher Authorization nur an bestimmten Punkten dieses Pfades an.
Effektivität: Unknown
Beschreibung: Implementieren Sie geeignete Access Control Authorizations für jeden Zugriff auf alle eingeschränkten URLs, Scripts oder Files.
Effektivität: Unknown
Beschreibung: Erwägen Sie die Nutzung von MVC-basierten Frameworks wie Struts.
