• CWE-639: Authorization Bypass Through User-Controlled Key

Die Autorisierungsfunktionalität des Systems verhindert nicht, dass ein Benutzer durch Modifikation des Schlüsselwerts, der die Daten identifiziert, auf die Daten oder den Datensatz eines anderen Benutzers zugreift.

CWE-639: Authorization Bypass Through User-Controlled Key

CWE ID: 639
Name: Authorization Bypass Through User-Controlled Key

Beschreibung

Die Autorisierungsfunktionalität des Systems verhindert nicht, dass ein Benutzer durch Modifikation des Schlüsselwerts, der die Daten identifiziert, auf die Daten oder den Datensatz eines anderen Benutzers zugreift.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Stellen Sie für jeden Datenzugriff sicher, dass der Benutzer die ausreichende Privilege besitzt, um den angeforderten Record zu lesen.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass der Key, der für die Suche nach einem spezifischen User Record verwendet wird, nicht extern durch den Benutzer kontrollierbar ist und dass jegliche Manipulation erkennbar ist.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Nutzen Sie Verschlüsselung (Encryption), um die Vermutung anderer legitimer Key-Werte zu erschweren oder verknüpfen Sie eine digitale Signatur mit dem Key, sodass der Server überprüfen kann, ob keine Manipulationen vorgenommen wurden.