CWE ID: 862
Name: Missing Authorization
Das Produkt führt keine Autorisierungsprüfung durch, wenn ein Akteur versucht, auf eine Ressource zuzugreifen oder eine Aktion auszuführen.
Effektivität: Unknown
Beschreibung: Es ist sicherzustellen, dass Access Control Checks im Zusammenhang mit der Business Logic durchgeführt werden. Diese Checks können sich von den Access Control Checks unterscheiden, die auf generischere Ressourcen wie Dateien, Verbindungen, Prozesse, Speicher und Datenbankeinträge angewendet werden. Beispielsweise kann eine Datenbank den Zugriff auf medizinische Daten auf einen bestimmten Datenbankbenutzer beschränken, während jeder einzelne Datensatz nur für den Patienten und den behandelnden Arzt zugänglich sein soll [REF-7].
Effektivität: Unknown
Beschreibung: Nutzen Sie die Access Control Capabilities Ihres Betriebssystems und Ihrer Serverumgebung und definieren Sie Ihre Access Control Lists (ACLs) entsprechend. Verwenden Sie dabei eine “default deny” Policy bei der Definition dieser ACLs.
Eine Access Control List (ACL) repräsentiert, wer oder was Berechtigungen für ein bestimmtes Objekt besitzt. Verschiedene Betriebssysteme implementieren ACLs auf unterschiedliche Weise. In UNIX gibt es drei Arten von Berechtigungen: lesen, schreiben und ausführen. Benutzer werden für den Dateizugriff in drei Klassen unterteilt: Eigentümer, Gruppenbesitzer und alle anderen Benutzer, wobei jede Klasse einen separaten Satz von Rechten hat. In Windows NT gibt es vier grundlegende Arten von Berechtigungen für Dateien: “Kein Zugriff”, “Lesender Zugriff”, “Ändernder Zugriff” und “Vollständige Kontrolle”. Windows NT erweitert das Konzept der drei Benutzertypen in UNIX um eine Liste von Benutzern und Gruppen zusammen mit ihren zugehörigen Berechtigungen. Ein Benutzer kann ein Objekt (Datei) erstellen und diesem Objekt spezifische Berechtigungen zuweisen.
