CWE ID: 9
Name: J2EE Misconfiguration: Weak Access Permissions for EJB Methods
Sollten EJB-Methoden erhöhte Zugriffsrechte erhalten, kann ein Angreifer diese Berechtigungen ausnutzen, um das Produkt zu kompromittieren.
Wenn die EJB-Deployment-Descriptor eine oder mehrere Method Permissions enthält, die Zugriff auf die spezielle ANYONE-Rolle gewähren, deutet dies darauf hin, dass der Zugriffskontrollmechanismus für die Anwendung nicht ausreichend durchdacht wurde oder dass die Anwendung so strukturiert ist, dass sinnvolle Access Control Restrictions nicht umsetzbar sind.
Effektivität: Unknown
Beschreibung: Beachten Sie das Prinzip der geringsten Privilegien bei der Zuweisung von Zugriffsrechten zu EJB-Methoden. Die Erlaubnis, EJB-Methoden aufzurufen, sollte nicht der ANYONE-Rolle gewährt werden.
