HTTP_009_SERVER_SIDE_AUTHZ: Autorisierung bleibt serverseitig
Severity: must. Bereich: http-api.
Regel
Jeder Endpunkt MUSS Zugriff, Tenant-Scope und Objektberechtigung serverseitig pruefen; ausgeblendete UI-Elemente ersetzen niemals Autorisierung.
Reflection-Check
check:
reflect:
fields:
- auth_required
- tenant_scope
object: endpointEvidence
- OWASP_API_TOP10, OWASP API Security Top 10 2023