SEC_019_AUDIT_CONTEXT_IS_SERVER_AUTHORED: Audit-Kontext ist serverseitig autorisiert
Severity: must. Bereich: security.
Regel
Actor, Tenant, Rollen, Request-Pfad und Correlation-Daten fuer Audit oder History DUERFEN nicht ungeprueft aus Client-Eingaben uebernommen werden. Der Server MUSS sie aus authentifizierter Session, autorisierter Job-Konfiguration oder verifiziertem externem Ereignis ableiten.
Reflection-Check
check:
reflect:
fields:
- actor_source
- server_authoritative
- client_override_allowed
objects:
- db_context_policy
- audit_eventEvidence
- OWASP_ASVS, OWASP Application Security Verification Standard
- OWASP_LOGGING, OWASP Logging Cheat Sheet