• CWE-566: Authorization Bypass Through User-Controlled SQL Primary Key

Das Produkt verwendet eine Datenbanktabelle, die Datensätze enthält, die für einen Akteur nicht zugänglich sein sollten. Es führt jedoch eine SQL-Anweisung mit einem Primärschlüssel aus, der von diesem Akteur kontrolliert werden kann.

CWE-566: Authorization Bypass Through User-Controlled SQL Primary Key

CWE ID: 566
Name: Authorization Bypass Through User-Controlled SQL Primary Key

Beschreibung

Das Produkt verwendet eine Datenbanktabelle, die Datensätze enthält, die für einen Akteur nicht zugänglich sein sollten. Es führt jedoch eine SQL-Anweisung mit einem Primärschlüssel aus, der von diesem Akteur kontrolliert werden kann.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Gehen Sie davon aus, dass sämtliche Eingaben bösartig sind. Implementieren Sie einen Standard-Inputvalidierungsmechanismus, um alle Eingaben hinsichtlich Länge, Typ, Syntax und Geschäftsregeln zu validieren, bevor die Daten akzeptiert werden. Verwenden Sie eine “accept known good” Validierungsstrategie.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Verwenden Sie eine parametrisierte Abfrage UND stellen Sie sicher, dass die akzeptierten Werte den Geschäftsregeln entsprechen. Konstruieren Sie Ihre SQL-Anweisung entsprechend.