>_AYSOLI SECURITY HUB
THREAT AREA

Business Logic Security

Automatisierte Schwachstellen-Scanner sind blind für die Logik deines Geschäfts. Sie finden technische Lücken wie veraltete Bibliotheken, aber sie verstehen nicht, wenn ein Angreifer durch Manipulation der Request-Abfolge eine Zahlung überspringt oder Rabatte kumuliert.

Deine Strategie

Echte Sicherheit in komplexen Web-Apps erfordert ein tiefes Verständnis der Business-Prozesse. Ergänze automatisierte Scans zwingend durch manuelle Experten-Reviews, die gezielt versuchen, die logischen Annahmen deiner Anwendung zu brechen.

Best Practices

  • Zustands-Validierung: Prüfe bei jedem API-Call, ob die Anwendung sich im korrekten Status für diese Aktion befindet.
  • Server-side Authority: Vertraue niemals Berechnungen (Preise, Mengen), die vom Client kommen.
  • Abfolgen-Kontrolle: Erzwinge eine strikte Reihenfolge von Prozessschritten und validiere deren Vollständigkeit.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-LOGIC-01

Business Logic Bypass

Umgehung von vorgeschriebenen Prozessschritten in der Applikation.

TamperingT-LOGIC-02

Parameter Pollution

Manipulation von mehrfachen HTTP-Parametern zur Verwirrung des Backends.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-01

Sensitive Data Exposure

Unbeabsichtigte Offenlegung von internen Informationen an Externe.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-WEB-01

Insecure Direct Object Reference (IDOR)

Zugriff auf Datenobjekte durch Manipulation von Referenzen.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Reconnaissance
T1595

Active Scanning

ATT&CK

Aktives Scannen der Web-Infrastruktur nach Schwachstellen.

Mitigiert durch
Manual Business Logic ReviewErweiterter SchutzHoch
CIS: 18.1OWASP: ASVS
Regular Penetration TestingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
Initial Access
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Manual Business Logic ReviewErweiterter SchutzHoch
CIS: 18.1OWASP: ASVS
Regular Penetration TestingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Strict Schema ValidationGrundschutzMittel
CIS: 16.11OWASP: API6
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Object Level Authorization (BOLA)GrundschutzMittel
NIST: PR.AC-4OWASP: API1
Fine-Grained RBAC / ABACGrundschutzMittel
CIS: 6.2OWASP: A01:2021
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Execution
T1059-007

JavaScript Injection

ATT&CK

Ausführung von schädlichem Code im Browser des Opfers.

Mitigiert durch
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Strict Schema ValidationGrundschutzMittel
CIS: 16.11OWASP: API6
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Privilege Escalation
T1548

Abuse Elevation Control Mechanism

ATT&CK

Umgehung von Mechanismen zur Rechteausweitung (z.B. UAC).

Mitigiert durch
Fine-Grained RBAC / ABACGrundschutzMittel
CIS: 6.2OWASP: A01:2021
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Collection
T1213

Data from Information Repositories

ATT&CK

Abgreifen von Daten aus Wissensdatenbanken (SharePoint, Confluence).

Mitigiert durch
Object Level Authorization (BOLA)GrundschutzMittel
NIST: PR.AC-4OWASP: API1
Fine-Grained RBAC / ABACGrundschutzMittel
CIS: 6.2OWASP: A01:2021
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Business Logic Security | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub