EN

Defekte Zugriffskontrolle und wie man sie verhindern kann

In diesem Artikel:

Schwachstellen in der Zugriffskontrolle sind in modernen Anwendungen keine Seltenheit, da der Entwurf und die Implementierung von Zugriffskontrollmechanismen auf einem hochkomplexen Ökosystem aus mehreren Komponenten und Prozessen basieren. In einem solch komplexen, sich verändernden Ökosystem sollten Sicherheitsteams mehrere rechtliche, organisatorische und geschäftliche Logiken anwenden, um sicherzustellen, dass der technische Stack wasserdicht ist und keinen Raum für Hacker lässt, um das System auszunutzen.

Wie es sich anhört, ist die Aufgabe nicht einfach, und die Wahrscheinlichkeit, dass Schwachstellen aufgrund eines formalen Ansatzes für die Sicherheit nicht erkannt werden, ist groß. Die traditionelle Methode zur Identifizierung zugriffsbezogener Schwachstellen besteht darin, sich auf manuelle Tests zu verlassen. Da es keine automatisierte, kontinuierliche Erkennung gibt, bleiben Schwachstellen in der Zugriffskontrolle oft unbemerkt und werden von Hackern potenziell mit viel höherer Intensität angegriffen.

Dieser Beitrag befasst sich mit Schwachstellen in der Zugriffskontrolle und damit, was Unternehmen tun können, um diese zu vermeiden.

Was sind Sicherheitslücken in der Zugriffskontrolle?

Unzureichende Zugriffskontrollen sind in den OWASP Top 10 Schwachstellen enthalten, da Hacker diese ausnutzen können, um sich als Benutzer auszugeben und mit privilegierten Funktionen auf Ressourcen zuzugreifen. Die meisten Zugriffskontrollsysteme werden nicht absichtlich mit Hilfe eines geführten Rahmens entworfen. Stattdessen entwickeln sie sich mit der Zeit und der Nutzung der Webanwendung weiter.

Zusätzlich ist ein fehlerhaftes Zugriffsschema relativ leicht zu erkennen und auszunutzen. In den meisten Fällen muss der Hacker eine Anfrage für Inhalte oder Funktionen erstellen, auf die er nicht zugreifen darf. Sobald die Schwachstelle entdeckt wurde, können die Auswirkungen von leicht bis schwerwiegend reichen, je nach Empfindlichkeit des Inhalts und der Schutzkontrollen. 

Die Auswirkungen einer lückenhaften Zugriffskontrolle

Es ist bekannt, dass fast jeder Webserver und jede Anwendungsimplementierung für mindestens eine Schwachstelle in der Zugriffskontrolle anfällig ist. Je nachdem, auf welche Ressourcen die Angreifer Zugriffsrechte erhalten, können die Auswirkungen eines erfolgreichen Angriffs verheerend sein. Einige geschäftliche Auswirkungen von Fehlern in der Zugriffskontrolle sind:

Offenlegung von nicht autorisierten Inhalten

Sobald ein Angreifer unberechtigte Zugriffsrechte erlangt hat, durchforstet er in der Regel die Website nach Informationen, um weitere Berechtigungen zu erlangen. Dabei greifen sie auf sensible System- und Benutzerdaten zu, die sie auf dem Schwarzmarkt oder durch andere böswillige Handlungen erlangen können. Bei einem erfolgreichen Angriff kann der Hacker die sensiblen Daten anzeigen, ändern oder sogar löschen, was die Systemleistung, den Ruf des Unternehmens und die Verfügbarkeit beeinträchtigt.

Privilege Escalation

Hacker nutzen Zugriffsschwachstellen hauptsächlich aus, um privilegierten Zugriff auf Ressourcen und Dienste zu erhalten, die normalerweise vor normalen Benutzern und Anwendungen geschützt sind. Meistens beabsichtigen Hacker zunächst, die Kontrolle über so viele Benutzerkonten wie möglich zu übernehmen. Mit einer Erhöhung der Privilegien können Hacker leicht Benutzerdaten stehlen oder bösartige Nutzdaten bereitstellen, die das gesamte Ökosystem des Anwendungshostings schädigen können.

Privilege Escalation Präventionsguide

Leitfaden

Privilege Escalation Präventionsguide

Erfahren Sie, wie Sie Privilege Escalation erkennen und verhindern und so Ihre Web-Assets schützen können.

Leitfaden herunterladen

Verteilter Denial of Service

Mit Zugriff auf zahlreiche Benutzerkonten können Angreifer Bots auf diesen Konten einsetzen und das System zum Absturz bringen, indem sie zahlreiche Anfragen auf einmal senden. Außerdem setzen sie bösartige Nutzdaten ein, die die Anwendung stören und für autorisierte Benutzer und Dienste nicht verfügbar machen.

Häufige Schwachstellen in der Zugriffskontrolle

Schwachstellen bei der Authentifizierung können wie folgt kategorisiert werden:

Vertikale Privilege Escalation

Vertikale Zugriffskontrollen werden verwendet, um den Zugriff auf wichtige Funktionen einzuschränken, die für andere Benutzer im Unternehmen nicht verfügbar sind. Beispielsweise können aufgebrochene vertikale Zugriffskontrollen erforscht werden, um auf Funktionen zuzugreifen, auf die normale Benutzer nicht zugreifen können, wie etwa das Ändern und Löschen von Benutzerkonten. 

Beispiele für Angriffe zur vertikalen Privilegienerweiterung durch unterbrochene vertikale Zugriffskontrollen sind:

  • Ungeschützte empfindliche Funktionalitäten
  • Parameter-basierte Angriffe
  • Unzureichende Zugriffskontrolle aufgrund einer Fehlkonfiguration der Plattform

Horizontale Privilege Escalation

Horizontale Zugriffskontrollen ermöglichen verschiedenen Anwendungsbenutzern den Zugriff auf ähnliche Ressourcentypen. Diese Mechanismen beschränken den Zugriff auf die Ressourcen nur auf die Gruppe von Benutzern, die auf die Ressource zugreifen dürfen. Bei einer Bankanwendung können Kunden beispielsweise die Datensätze ihrer Transaktionen einsehen, nicht aber die anderer Benutzer. Defekte horizontale Zugriffskontrollen ermöglichen Angreifern den Zugriff auf Ressourcen, die anderen Benutzern gehören, und werden durch unzulässige ID-Kontrollen verursacht.

Kontextabhängige Privilege Escalation

Häufig kompromittieren Angreifer privilegierte Benutzer, um horizontale Angriffe zur Privilegienerweiterung in eine vertikale Privilegienerweiterung umzuwandeln. So können Hacker zum Beispiel defekte horizontale Kontrollen nutzen, um die Anmeldedaten eines anderen Benutzers zu erhalten. Die Angreifer können dann auf administrative Konten abzielen, wodurch sie administrative Rechte erhalten, um die Privilegien vertikal zu erweitern.

Zu den kontextabhängigen Angriffen zur Privilegienerweiterung gehören:

  • Unsichere direkte Objektreferenz
  • Mehrstufige Angriffe
  • Angriffe auf referer-basierte Mechanismen
  • Angriffe auf Mechanismen, die auf dem geografischen Standort basieren

Verhindern von Schwachstellen mit defekter Zugriffskontrolle

Broken Access Control ist eine hoch eingestufte OWASP-gelistete Schwachstelle, die als gelegentlich auftretend eingestuft wird, mäßig ausnutzbar ist und extrem tiefgreifende und schädliche Auswirkungen hat. Darüber hinaus sind Schwachstellen in der Zugriffskontrolle ein führender Faktor bei Datenschutzverletzungen und Datenlecks, die oft zu hohen Strafen, dem Verlust des guten Rufs eines Unternehmens und der Preisgabe von Kundendaten an Betrüger führen.

Daher ist es wichtig, diese Schwachstellen zu beseitigen, bevor Angreifer sie ausnutzen, und generell eine Zugriffskontrollpolitik einzuführen. 

Nachfolgend finden Sie eine Liste von Best Practices und Tools, die üblicherweise verwendet werden, um Angriffe auf Schwachstellen in der Zugriffskontrolle zu verhindern.

Bewährte Praktiken zur Verhinderung von Angriffen auf die Zugriffskontrolle

Einige Praktiken, die Sicherheitsteams anwenden können, um Angriffe auf die Zugriffskontrolle zu verhindern, sind:

Standardmäßig verweigern

Eine gute Faustregel für die Zugriffskontrolle ist, mit den minimal erforderlichen privilegierten Funktionen zu beginnen. So sollte beispielsweise dem Benutzer jeder Anwendung standardmäßig der Zugriff auf Anwendungsressourcen verweigert werden, wobei nur ein legitimer Benutzer die Berechtigung zum Anzeigen, Zugreifen und Ändern dieser Ressourcen erhält.

Darüber hinaus sollten Sicherheitsteams Admin-Rechte und andere erhöhte Privilegien entfernen, um den Umfang der Auswirkungen zu verringern, sobald ein Angreifer die Anmeldedaten eines Benutzers erlangt hat. Die Sitzungsverwaltung sollte auch mit Just-in-Time-Zugriff erfolgen, um den Bedarf an dauerhaften Privilegien zu beseitigen, die Hacker schnell erlangen können.

Zentrale Schnittstelle für anwendungsweite Zugriffskontrollen

Jedes Unternehmen benötigt eine Standardmethode, um die Wirksamkeit von Zugriffskontrollentscheidungen zu bewerten. Es ist daher unerlässlich, über eine zentrale, verwaltete Schnittstelle zu verfügen, um die verwendeten Zugriffskontrollschemata zu dokumentieren und bei der Entwicklung eines Frameworks zu helfen, mit dem der Erfolg etablierter Zugriffskontrollmechanismen getestet werden kann.

Zugriffskontrollen auf der Server-Seite handhaben

Unternehmen sollten nur der serverseitigen Authentifizierung und Autorisierung vertrauen, da sie für alle Dienste, Benutzer und Anwendungen dieselben Kontrollen anwenden. Sicherheitsteams und Entwickler sollten eine Vorlage für die Aufgabentrennung entwickeln. So helfen beispielsweise Rollenvorlagen dem Server, Anfragen auf der Grundlage der mit der jeweiligen Rolle verbundenen Berechtigungen zu validieren und unbefugten Benutzern keinen Zugriff zu gewähren.

Ständiges Testen und Prüfen der Zugriffskontrollen

Es ist wichtig, Sicherheitstests zu einem kontinuierlichen, konsistenten Prozess zu machen, indem die Zugriffskontrollmechanismen ständig getestet und geprüft werden, um sicherzustellen, dass sie wie vorgesehen funktionieren. Darüber hinaus hilft ein effizientes Testen den Teams, neuere Schwachstellen und Fehler zu erkennen, sobald sie auftauchen, und stärkt so das Vertrauen des Unternehmens in die Implementierung der Zugriffskontrolle. 

Sauberer Code mit binären Zugriffskontrollen

Jeder Entwickler sollte sicherstellen, dass sein Quellcode Regeln enthält, die den Zugriff für jede Ressource auf Code-Ebene deklarieren, wobei der Zugriff standardmäßig verweigert werden sollte. Außerdem ist es wichtig, sichere Kodierungspraktiken anzuwenden, um häufige Programmierfehler zu vermeiden, die Angreifer für privilegierten Zugriff ausnutzen.

RBAC aktivieren

Die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) ermöglicht es Unternehmen, die Zugriffskontrolle schnell zu implementieren, indem sie Benutzer in Rollen gruppieren und die mit jeder Rolle verbundenen Berechtigungen definieren. Mit RBAC können Sicherheitsteams den Aufwand für IT-Support und -Administration reduzieren, die betriebliche Effizienz maximieren und die Compliance durch Datenzugriffsmanagement verbessern. 

Durchsetzung von Datensatz-Eigentum

Unternehmen sollten Zugriffskontrollen modellieren, die jeden Datensatz mit der Benutzer-ID des Kontos verknüpfen, das die Aufgaben ausführt, anstatt Benutzern den Zugriff, die Änderung, Aktualisierung oder Löschung beliebiger Datensätze zu gestatten.

Tools zur Verhinderung, Erkennung und Behebung von Schwachstellen bei der Authentifizierung

Zu den beliebtesten Lösungen zur Erkennung und Verhinderung von Sicherheitslücken in der Zugriffskontrolle gehören:

Crashtest Security Suite

Ein Schwachstellenscanner wird dafür genutzt, einen kontinuierlichen Testprozess im Unternehmen einzuführen. Das verringert das Risiko, über eine API oder Webanwendung gehackt zu werden. Mit Crashtest Security können Unternehmen das Scannen von Schwachstellen innerhalb von Minuten einrichten, da sich die Suite nahtlos in die meisten aktuellen Tech-Stacks integrieren lässt. Darüber hinaus ermöglicht das Tool ein effizientes Scannen mit niedrigen False-Positives- und Negative-Raten und erstellt präzise Schwachstellenberichte und Empfehlungen zur Behebung.

HDiv

Eine vollständige Lösung für das Testen von Anwendungen, die ein System zur Kontrolle des Informationsflusses nutzt, um Teams bei der Kontrolle der von ihren Anwendungen genutzten Ressourcen zu unterstützen. Darüber hinaus verhindert der Mechanismus zur Kontrolle des Informationsflusses, dass der ursprüngliche Serververtrag gebrochen wird, so dass HDiv genau weiß, welcher Benutzer auf welche Ressourcen zugreifen kann.

Immuniweb-Entdeckung

Eine Lösung für das Management und die Überwachung von Angriffsflächen nutzt KI-gesteuerte Tests, um Schwachstellen und die Gefährdung durch das Dark Web einer Organisation aufzudecken. Darüber hinaus stützt sich die Plattform auf eine nicht-intrusive und produktionssichere Erkennung von Schwachstellen, um Teams dabei zu helfen, Angriffe auf die Lieferkette zu verhindern.

PortSwigger/Burp Suite

Burp Suite ist eine beliebte Lösung für Anwendungssicherheit, die von PortSwigger entwickelt wurde, um Unternehmen bei der Bekämpfung von Zero-Day-Bedrohungen durch automatisches Scannen zu unterstützen. Die Suite umfasst auch Funktionen für Penetrationstests, mit denen sich die Auswirkungen von Broken-Access-Control-Angriffen auf Webserver ermitteln lassen.

Acunetix

Eine Plattform zum Testen der Anwendungssicherheit, die eine integrierte Bewertung und Verwaltung von Schwachstellen bietet. Die Lösung lässt sich mit marktführenden DevOps-Tools integrieren, um die Sicherheit zu erhöhen und die meisten Sicherheitsrisiken zu geringen Kosten zu beseitigen.

Zusammenfassung

Die Behebung von Fehlern in der Zugriffskontrolle ist eine ziemlich komplexe Aufgabe, da Angreifer viele Szenarien nutzen können, um die Schwachstelle auszunutzen. Darüber hinaus führt die Fehlkonfiguration des Zugriffs auf Funktionsebene häufig zu Sicherheitslücken, die von Angreifern zur Privilege Escalation genutzt werden. 

Crashtest Security ist eine End-to-End-Plattform zum Scannen von Schwachstellen, die automatisiertes Scannen von Schwachstellen ermöglicht, um die Produktivität und die Sicherheitslage zu verbessern. Testen Sie Crashtest Security noch heute und entdecken Sie, wie es sich in Ihren Entwicklungsstack integrieren lässt, um effizientes, automatisiertes Schwachstellen-Scanning zu ermöglichen.

Identifizieren Sie Schwachstellen in Ihren Web Apps und APIs

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit http://example.com
Wir scannen derzeit http://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 27/05/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Ihren Bericht anfordern
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.