Zurück

Broken Access Control: Das unterschätzte Risiko, das nie verschwindet

Die OWASP Top 10 sind 2025 neu erschienen – und wieder belegt Broken Access Control den ersten Platz.

Dieser Talk beleuchtet drei zentrale Schwachstellen: BOLA (Broken Object Level Authorization), BOPLA (Broken Object Property Level Authorization) und BFLA (Broken Function Level Authorization). Warum zählen diese zu den häufigsten Sicherheitsfehlern? Und wie schützen wir uns systematisch davor?

Anhand konkreter Code-Beispiele zeigt dieser Vortrag, wie effektive Autorisierung funktioniert und wie sich mit den richtigen Design Patterns die Angriffsfläche drastisch reduzieren lässt.

Vorkenntnisse

Basiswissen über Web-Anwendungen und APIs
Erste Erfahrung mit Authentifizierung und Autorisierung hilfreich, aber nicht zwingend erforderlich
Verständnis von HTTP, REST APIs

Lernziele

Die Teilnehmer verstehen die Unterschiede zwischen BOLA, BOPLA und BFLA und erkennen diese Schwachstellen im eigenen Code. Sie lernen bewährte Design Patterns kennen, um Autorisierung sicher zu implementieren und die Angriffsfläche ihrer Anwendungen zu minimieren.

Speaker

Martina Kraus Martina Kraus ist Expertin für Websicherheit. Als Application Security Engineer integriert sie Sicherheits-Best-Practices in alle Phasen der Softwareentwicklung. Als Google Developer Expert teilt sie ihr Wissen auf internationalen Konferenzen. Zudem ist sie Autorin des Buches „Authentifizierung und Autorisierung in Web Applikationen".