Einblick in die mangelhafte Berechtigungsverwaltung auf Objektebene: Der heimliche Fehler in der Zugriffskontrolle, der heutige Apps untergräbt

Die größte Bedrohung für die API-Sicherheit, die Sie auf keinen Fall ignorieren dürfen

„Broken Object Level Authorization“ (BOLA) steht auf Platz 1 der Liste der zehn größten API-Sicherheitsrisiken der OWASP für das Jahr 2023. Da Systeme zunehmend auf internetgestützte APIs umgestellt haben, können Angreifer Objekt-IDs ausloten und Daten abgreifen, auf die sie eigentlich keinen Zugriff haben sollten.

Von der API für vernetzte Fahrzeuge von Volkswagen, über die Besitzerdaten offengelegt wurden, bis hin zum nicht authentifizierten Endpunkt von T-Mobile, über den 37 Millionen Kundendaten
durchgesickert sind, stand BOLA im Mittelpunkt einiger der schwerwiegendsten Vorfälle der jüngsten Vergangenheit.

In diesem Webinar erfahren Sie mehr darüber:

• Warum sich die Autorisierung auf Objektebene grundlegend von der rollenbasierten Zugriffskontrolle unterscheidet – und warum eine Verwechslung beider Ansätze zu katastrophalen blinden Flecken führt
• Wie Angreifer unsichere direkte Objektreferenzen aufspüren und ausnutzen, indem sie lediglich vorhersehbare Bezeichner und nicht authentifizierte Endpunkte verwenden
• So setzen Sie serverseitige Autorisierungsprüfungen in all Ihren APIs und Gateways einheitlich durch