Authentifizierung vs. Autorisierung

Warum es wichtig ist

Die Unterscheidung zwischen Authentifizierung und Autorisierung ist das wichtigste Konzept in der API-Sicherheit. Die Mehrheit der kritischen API-Schwachstellen resultiert aus der Verwechslung dieser beiden Konzepte oder aus Fehlern in einem, während das andere korrekt funktioniert.

Betrachten Sie eine Gebäudeanalogie: Authentifizierung ist der Sicherheitsbeamte, der Ihren Ausweis am Eingang prüft. Autorisierung ist das Zugangskartensystem, das bestimmt, welche Stockwerke und Räume Sie betreten dürfen. Ein Gebäude, das Ausweise an der Tür prüft, aber jedem Zugang zu jedem Raum gewährt, hat Authentifizierung ohne ordnungsgemäße Autorisierung. Genau das passiert bei den meisten BOLA/IDOR-Schwachstellen.

In der OWASP API Security Top 10 sind drei der fünf wichtigsten Kategorien (API1, API3, API5) grundsätzlich Autorisierungsfehler, während API2 Authentifizierungsfehler abdeckt. Das Verständnis dieser Unterscheidung ist der Schlüssel zum Finden der häufigsten und wirkungsvollsten API-Fehler.

Authentifizierung in der Praxis

Wie Authentifizierung funktioniert

Authentifizierung verifiziert die Identität durch einen oder mehrere Faktoren:

• Etwas, das Sie wissen: Passwörter, PINs, Sicherheitsfragen
• Etwas, das Sie haben: Token, Smartcards, mobile Geräte (verwendet bei der Zwei-Faktor-Authentifizierung)
• Etwas, das Sie sind: Fingerabdrücke, Gesichtserkennung, Biometrie

In APIs erzeugt die Authentifizierung typischerweise ein Token (JWT, Sitzungs-Cookie oder API-Schlüssel), das der Client mit nachfolgenden Anfragen sendet. Der Server validiert dieses Token bei jeder Anfrage, um die Identität des Benutzers zu bestätigen.

Häufige Authentifizierungsfehler

• Token, die nie ablaufen und permanenten Zugriff über ein gestohlenes Token ermöglichen
• Passwort-Reset-Abläufe mit vorhersagbaren oder wiederverwendbaren Token
• Logout, das das Token nur clientseitig löscht, ohne es serverseitig zu invalidieren
• Fehlendes Rate Limiting an Login- oder OTP-Endpunkten, das Brute-Force-Angriffe ermöglicht
• Schwache Token-Generierung, die Vorhersage oder Replay ermöglicht

Autorisierung in der Praxis

Wie Autorisierung funktioniert

Nachdem die Authentifizierung die Identität bestätigt hat, bestimmt die Autorisierung die Berechtigungen. Autorisierungsmodelle umfassen:

• Rollenbasierte Zugriffskontrolle (RBAC): Berechtigungen werden Rollen zugewiesen (Admin, Benutzer, Redakteur); Benutzer erben Rollenberechtigungen
• Attributbasierte Zugriffskontrolle (ABAC): Berechtigungen basierend auf Benutzerattributen, Ressourcenattributen und Umgebungsbedingungen
• Autorisierung auf Objektebene: Verifizierung, dass der authentifizierte Benutzer das spezifisch angeforderte Objekt besitzt oder Zugriff darauf hat

Häufige Autorisierungsfehler

• Fehlende Prüfungen auf Objektebene (BOLA/IDOR): Die API verifiziert die Anmeldung, aber nicht den Ressourcenbesitz
• Fehlende Prüfungen auf Funktionsebene: Reguläre Benutzer rufen Admin-Endpunkte auf
• Mass Assignment: Die API akzeptiert Rollen- oder Berechtigungsänderungen aus Benutzereingaben
• Privilege Escalation: Benutzer erhöhen ihre eigenen Berechtigungen durch API-Manipulation

Testen von Authentifizierung und Autorisierung

Bei API-Tests bewerten Sicherheitsexperten beide Ebenen unabhängig voneinander:

Authentifizierungstests: Können Token nach dem Logout wiederverwendet werden? Laufen sie ab? Können Passwort-Reset-Token vorhergesagt werden? Gibt es Rate Limiting beim Login? Werden alte Sitzungen nach einer Passwortänderung invalidiert?

Autorisierungstests: Kann Benutzer A auf die Daten von Benutzer B zugreifen, indem eine ID geändert wird? Kann ein regulärer Benutzer Admin-Endpunkte aufrufen? Kann der Benutzer privilegierte Felder zum Request-Body hinzufügen? Gibt die API mehr Daten zurück, als die Rolle des Benutzers sehen sollte?

Die wirkungsvollsten Fehler treten an der Schnittstelle auf: Eine API, die Benutzer korrekt authentifiziert, aber deren Zugriff auf bestimmte Objekte oder Funktionen nicht autorisiert.