{"id":202161,"date":"2025-01-29T06:30:00","date_gmt":"2025-01-29T05:30:00","guid":{"rendered":"https:\/\/liora.io\/de\/?p=202161"},"modified":"2026-02-06T05:47:25","modified_gmt":"2026-02-06T04:47:25","slug":"broken-object-level-authorization-was-ist-das","status":"publish","type":"post","link":"https:\/\/liora.io\/de\/broken-object-level-authorization-was-ist-das","title":{"rendered":"Broken Object Level Authorization (BOLA): Was ist das und wie sch\u00fctzt man sich davor?"},"content":{"rendered":"<b>Application Programming Interfaces (APIs) spielen eine wesentliche Rolle in der digitalen Welt, indem sie Dienste und Anwendungen verbinden, von Online-Banking bis zu IoT-Ger\u00e4ten. Allerdings sind sie durch ihre Allgegenwart ein bevorzugtes Ziel f\u00fcr Cyberangriffe.<\/b>\n\nOhne gute Sicherheitspraktiken sind APIs vielen Schwachstellen ausgesetzt, wie zum Beispiel <b>BOLA (Broken Object Level Authorization)<\/b>. Dieser Artikel soll Dir helfen zu verstehen, was <b>BOLA<\/b> ist, wie man es erkennt und welche Strategien man anwenden kann, um APIs effektiv vor dieser Bedrohung zu sch\u00fctzen.\n\n<style><br \/>\n.elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px}<\/style>\n<h3>Was ist eine BOLA-Schwachstelle?<\/h3>\n<b>Broken Object Level Authorization (BOLA)<\/b> ist eine kritische <b>Sicherheitsschwachstelle<\/b>, die auftritt, wenn <b>Webanwendungen oder APIs<\/b> nicht korrekt pr\u00fcfen, ob ein Benutzer berechtigt ist, auf bestimmte Daten oder Ressourcen zuzugreifen.\n\nMit anderen Worten erlaubt die Anwendung es einem <b>Benutzer<\/b>, <b>sensible Informationen<\/b> einfach durch \u00c4ndern eines Identifikators in der Anfrage abzurufen oder zu \u00e4ndern. Stell Dir zum Beispiel einen Online-Dienst f\u00fcr das Management von Gesundheitsartikeln vor: Jeder Benutzer kann seine eigenen Artikel \u00fcber einen Link mit einer eindeutigen Kennung einsehen. Wenn dieses System nicht \u00fcberpr\u00fcft, ob der Benutzer tats\u00e4chlich berechtigt ist, auf den angeforderten Artikel zuzugreifen, k\u00f6nnte ein Angreifer diesen Identifikator \u00e4ndern und die medizinischen Informationen anderer Benutzer anzeigen.\n\n<b>Die Konsequenzen einer solchen Schwachstelle<\/b> k\u00f6nnen verheerend sein: Lecks pers\u00f6nlicher Daten, Diebstahl vertraulicher Informationen oder sogar b\u00f6swillige Manipulation kritischer Ressourcen.\n<h3>Wie entsteht eine BOLA-Schwachstelle?<\/h3>\n<ul>\n \t<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Fehlende Berechtigungspr\u00fcfungen:<\/b> Die API pr\u00fcft nicht, ob der Benutzer berechtigt ist, auf eine bestimmte Ressource zuzugreifen.<\/li>\n \t<li><b>Manipulation von Identifikatoren:<\/b> Ein Angreifer ver\u00e4ndert einen Identifikator in der Anfrage (z.B. in der URL oder im Anfragek\u00f6rper), um auf Daten zuzugreifen, die ihm nicht geh\u00f6ren.<\/li>\n<\/ul>\n<b>Ergebnis:<\/b> Der Angreifer kann sensible Daten anderer Benutzer anzeigen, \u00e4ndern oder l\u00f6schen, ohne Einschr\u00e4nkungen.\n<h3>Wie identifiziert man eine BOLA-Schwachstelle?<\/h3>\nUm eine <b>BOLA<\/b>-Schwachstelle zu erkennen, k\u00f6nnen mehrere Methoden angewendet werden:\n<ul>\n \t<li><b>\u00c4nderung von Identifikatoren in Anfragen:<\/b> Manuelles Testen durch Ersetzen von Objekt-Identifikatoren in den URLs oder Parametern, um zu sehen, ob die API nicht autorisierte Daten zur\u00fcckgibt.<\/li>\n \t<li><b>Verwendung automatisierter Tools:<\/b> Tools wie <a href=\"https:\/\/portswigger.net\/burp\" target=\"_blank\" rel=\"noopener\">Burp Suite<\/a> (mit den Erweiterungen AuthMatrix oder Autorize) und OWASP ZAP erm\u00f6glichen das automatische Testen von Berechtigungen und das schnelle Erkennen von Schwachstellen.<\/li>\n \t<li><b>Beobachtung der HTTP-Antworten:<\/b> Wenn die API einen <b>200 (Erfolg)<\/b>-Code anstelle eines <b>403 (Zugriff verboten)<\/b> bei einem unautorisierten Versuch zur\u00fcckgibt, deutet dies auf ein Problem bei der Zugriffskontrolle hin.<\/li>\n \t<li><b>Code-Review:<\/b> \u00dcberpr\u00fcfung des Servercodes, um sicherzustellen, dass die Berechtigungen systematisch gepr\u00fcft werden, bevor eine Antwort zur\u00fcckgegeben oder eine Aktion autorisiert wird.<\/li>\n \t<li><b>Tests mit unterschiedlichen Benutzerrollen:<\/b> Simulation von Anfragen mit verschiedenen Zugriffsebenen (Standardbenutzer, Administrator), um sicherzustellen, dass die Berechtigungen je nach Rolle korrekt angewendet werden.<\/li>\n<\/ul>\n<style><br \/>\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" width=\"1000\" height=\"667\" src=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/01\/broken-object-level-authorization-Liora-1.webp\" alt=\"\" loading=\"lazy\" srcset=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/01\/broken-object-level-authorization-Liora-1.webp 1000w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/01\/broken-object-level-authorization-Liora-1-300x200.webp 300w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/01\/broken-object-level-authorization-Liora-1-768x512.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\">\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex is-content-justification-center\"><div class=\"wp-block-button \"><a class=\"wp-block-button__link wp-element-button \" href=\"https:\/\/liora.io\/de\/cybersicherheit-was-ist-das\">Lerne mehr \u00fcber Cybersecurity<\/a><\/div><\/div>\n\n<h3>Welche Strategien sch\u00fctzen APIs vor BOLA?<\/h3>\n<ol>\n \t<li><b> Gute Sicherheitspraktiken f\u00fcr APIs<\/b><\/li>\n<\/ol>\nEs gibt verschiedene L\u00f6sungen, um APIs zu sichern, wie API Testing, um Schwachstellen zu vermeiden und deine Daten an der Quelle zu sch\u00fctzen. Zum Beispiel: Verwende schwer zu erratende zuf\u00e4llige Objekt-Identifikatoren, um Angreifern keine Hinweise zu geben.\n<ol start=\"2\">\n \t<li><b> Authentifizierung und Sitzungsverwaltung<\/b><\/li>\n<\/ol>\nEine gute Verwaltung der Authentifizierung und der Sitzungen reduziert Sicherheitsrisiken erheblich. Authentifiziere die Benutzer bei jeder Sitzung und verwalte die Sitzungen angemessen, zum Beispiel durch das Ung\u00fcltigmachen nach einer Inaktivit\u00e4tsperiode.\n<ol start=\"3\">\n \t<li><b> Strenge Zugriffskontrolle<\/b><\/li>\n<\/ol>\nZugriffskontrollen m\u00fcssen korrekt implementiert werden, um sicherzustellen, dass nur autorisierte Benutzer auf Daten zugreifen. Implementiere rollenbasierte Zugriffskontrollen (RBAC), um den Zugriff auf Ressourcen entsprechend den Benutzerrechten einzuschr\u00e4nken.\n<ol start=\"4\">\n \t<li><b> Begrenzung der Anforderungsrate (Rate Limiting)<\/b><\/li>\n<\/ol>\nDie Begrenzung der Anforderungsrate erlaubt es, die Anzahl der Anfragen, die eine API in einem bestimmten Zeitraum bearbeiten kann, einzuschr\u00e4nken. Diese Ma\u00dfnahme verhindert, dass Angreifer die API mit einer zu gro\u00dfen Anzahl von Anfragen \u00fcberlasten, und garantiert so deren Leistung und Stabilit\u00e4t.\n<ol start=\"5\">\n \t<li><b> Regelm\u00e4\u00dfige Sicherheitstests der API<\/b><\/li>\n<\/ol>\nGr\u00fcndliche Sicherheitstests der APIs helfen, verschiedene Schwachstellen zu identifizieren, bevor sie ausgenutzt werden. Durch regelm\u00e4\u00dfige Sicherheitstests kannst du die potenziellen Risiken besser verstehen, Schwachstellen erkennen und die notwendigen Ma\u00dfnahmen ergreifen, um sie schnell zu beheben.\n\n<img decoding=\"async\" width=\"1000\" height=\"667\" src=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/01\/broken-object-level-authorization-Liora-2.webp\" alt=\"\" loading=\"lazy\" srcset=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/01\/broken-object-level-authorization-Liora-2.webp 1000w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/01\/broken-object-level-authorization-Liora-2-300x200.webp 300w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/01\/broken-object-level-authorization-Liora-2-768x512.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\">\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex is-content-justification-center\"><div class=\"wp-block-button \"><a class=\"wp-block-button__link wp-element-button \" href=\"https:\/\/liora.io\/de\/die-digitale-identitaet\">Schon mal was von digitaler Identit\u00e4t geh\u00f6rt?<\/a><\/div><\/div>\n\n<h3>Fazit<\/h3>\n<b>Die BOLA-Schwachstelle<\/b> zeigt auf, wie sehr eine schlechte <b>Berechtigungsverwaltung<\/b> sensible Daten exponieren und die <b>Sicherheit von Anwendungen<\/b> gef\u00e4hrden kann. Wenn man versteht, wie diese Schwachstelle entsteht, und strenge <b>Zugriffskontrollpraktiken<\/b> anwendet, ist es m\u00f6glich, diese Art von Angriff effektiv zu verhindern und den Schutz von APIs zu st\u00e4rken.","protected":false},"excerpt":{"rendered":"<p>Application Programming Interfaces (APIs) spielen eine wesentliche Rolle in der digitalen Welt, indem sie Dienste und Anwendungen verbinden, von Online-Banking bis zu IoT-Ger\u00e4ten. Allerdings sind sie durch ihre Allgegenwart ein bevorzugtes Ziel f\u00fcr Cyberangriffe. Ohne gute Sicherheitspraktiken sind APIs vielen Schwachstellen ausgesetzt, wie zum Beispiel BOLA (Broken Object Level Authorization). Dieser Artikel soll Dir helfen [&hellip;]<\/p>\n","protected":false},"author":74,"featured_media":202163,"comment_status":"open","ping_status":"open","sticky":false,"template":"elementor_theme","format":"standard","meta":{"_acf_changed":false,"editor_notices":[],"footnotes":""},"categories":[2473],"class_list":["post-202161","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersicherheit"],"acf":[],"_links":{"self":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/202161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/comments?post=202161"}],"version-history":[{"count":5,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/202161\/revisions"}],"predecessor-version":[{"id":216801,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/202161\/revisions\/216801"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media\/202163"}],"wp:attachment":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media?parent=202161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/categories?post=202161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}