This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A5-Sicherheitsrelevante Fehlkonfiguration"
From OWASP
(added PHP-Headertab for future use ;-)) |
m (Changed all Headertaby to style of 2013; removed '_Developer_Edition_De' in Templates) |
||
| Line 22: | Line 22: | ||
}} | }} | ||
| − | {{ | + | {{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2010|language=de}} |
{{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=1|impact=2|language=de|year=2013}} | {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=1|impact=2|language=de|year=2013}} | ||
{{Top_10_2010:SummaryTableHeaderEndTemplate}} | {{Top_10_2010:SummaryTableHeaderEndTemplate}} | ||
| Line 36: | Line 36: | ||
{{Top_10_2010:SummaryTableEndTemplate}} | {{Top_10_2010:SummaryTableEndTemplate}} | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=main}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=6|year=2010|language=de }} |
'''<u>Szenario 1</u>''': Eine Anwendung baut auf einem mächtigen Framework auf. XSS Fehler werden in diesem Framework gefunden. Ein Update zur Behebung der Sicherheitslücken wurde veröffentlicht, jedoch bisher nicht ausgerollt. Bis zum Update können Angreifer die Fehler in der Anwendung erkennen und ausnutzen.<br/> | '''<u>Szenario 1</u>''': Eine Anwendung baut auf einem mächtigen Framework auf. XSS Fehler werden in diesem Framework gefunden. Ein Update zur Behebung der Sicherheitslücken wurde veröffentlicht, jedoch bisher nicht ausgerollt. Bis zum Update können Angreifer die Fehler in der Anwendung erkennen und ausnutzen.<br/> | ||
| Line 45: | Line 45: | ||
'''<u>Szenario 4</u>''': Die Anwendungsserverkonfiguration erlaubt es, Stack Traces an Benutzer zurückzugeben. Dadurch können potentielle Fehler im Backend offengelegt werden. Angreifer lieben zusätzliche Informationen in Fehlermeldungen.<br/> | '''<u>Szenario 4</u>''': Die Anwendungsserverkonfiguration erlaubt es, Stack Traces an Benutzer zurückzugeben. Dadurch können potentielle Fehler im Backend offengelegt werden. Angreifer lieben zusätzliche Informationen in Fehlermeldungen.<br/> | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=6|year=2010|language=de}} |
Alle folgenden Empfehlungen sollten berücksichtigt werden: | Alle folgenden Empfehlungen sollten berücksichtigt werden: | ||
# Ein wiederholbarer Härtungsprozess, der eine schnelle und einfache Verteilung einer neuen, abgesicherten Umgebung erlaubt. Entwicklungs-, QA-, und Produktionsumgebungen sollten identisch konfiguriert sein. Der Prozess sollte automatisiert sein, um nötigen Aufwand bei Erstellung einer neuen, sicheren Umgebung zu minimieren. | # Ein wiederholbarer Härtungsprozess, der eine schnelle und einfache Verteilung einer neuen, abgesicherten Umgebung erlaubt. Entwicklungs-, QA-, und Produktionsumgebungen sollten identisch konfiguriert sein. Der Prozess sollte automatisiert sein, um nötigen Aufwand bei Erstellung einer neuen, sicheren Umgebung zu minimieren. | ||
| Line 54: | Line 54: | ||
= '''JAVA''' = | = '''JAVA''' = | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=5|year=2013|language=de}} |
==== Tbd ==== | ==== Tbd ==== | ||
| Line 61: | Line 61: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=5|year=2013|language=de}} |
==== Tbd ==== | ==== Tbd ==== | ||
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
| Line 67: | Line 67: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=5|year=2013|language=de}} |
==== Tbd ==== | ==== Tbd ==== | ||
| Line 74: | Line 74: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=5|year=2013|language=de}} |
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
* [[Configuration | OWASP Development Guide: Chapter on Configuration]] | * [[Configuration | OWASP Development Guide: Chapter on Configuration]] | ||
| Line 84: | Line 84: | ||
Weitere Informationen unter [http://www.owasp.org/index.php/ASVS#tab=Download ASVS requirements area for Security Configuration (V12)] | Weitere Informationen unter [http://www.owasp.org/index.php/ASVS#tab=Download ASVS requirements area for Security Configuration (V12)] | ||
| − | {{ | + | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}} |
*[http://www.pcmag.com/article2/0,2817,11525,00.asp PC Magazine Article on Web Server Hardening] | *[http://www.pcmag.com/article2/0,2817,11525,00.asp PC Magazine Article on Web Server Hardening] | ||
*[http://cwe.mitre.org/data/definitions/2.html CWE Entry 2 on Environmental Security Flaws] | *[http://cwe.mitre.org/data/definitions/2.html CWE Entry 2 on Environmental Security Flaws] | ||
| Line 105: | Line 105: | ||
= '''PHP''' = | = '''PHP''' = | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=5|year=2013|language=de}} |
==== Tbd ==== | ==== Tbd ==== | ||
| Line 112: | Line 112: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=5|year=2013|language=de}} |
==== Tbd ==== | ==== Tbd ==== | ||
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
| Line 118: | Line 118: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=5|year=2013|language=de}} |
==== Tbd ==== | ==== Tbd ==== | ||
| Line 125: | Line 125: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=5|year=2013|language=de}} |
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
* [[Configuration | OWASP Development Guide: Chapter on Configuration]] | * [[Configuration | OWASP Development Guide: Chapter on Configuration]] | ||
| Line 135: | Line 135: | ||
Weitere Informationen unter [http://www.owasp.org/index.php/ASVS#tab=Download ASVS requirements area for Security Configuration (V12)] | Weitere Informationen unter [http://www.owasp.org/index.php/ASVS#tab=Download ASVS requirements area for Security Configuration (V12)] | ||
| − | {{ | + | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}} |
*[http://www.pcmag.com/article2/0,2817,11525,00.asp PC Magazine Article on Web Server Hardening] | *[http://www.pcmag.com/article2/0,2817,11525,00.asp PC Magazine Article on Web Server Hardening] | ||
*[http://cwe.mitre.org/data/definitions/2.html CWE Entry 2 on Environmental Security Flaws] | *[http://cwe.mitre.org/data/definitions/2.html CWE Entry 2 on Environmental Security Flaws] | ||
| Line 157: | Line 157: | ||
= '''Test''' = | = '''Test''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=5|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 163: | Line 163: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=5|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 169: | Line 169: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=5|year=2013|language=de}} |
tbd | tbd | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=5|year=2013|language=de}} |
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=5|year=2013|language=de}} |
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab | {{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab | ||
|headertab=Test | |headertab=Test | ||
Revision as of 08:49, 21 January 2014
| ← A4-Unsichere direkte Objektreferenzen | A6-Verlust der Vertraulichkeit sensibler Daten → |
A5 Sicherheitsrelevante Fehlkonfiguration
| Bedrohungsquellen | Angriffsvektoren | Schwachstellen | Technische Auswirkung | Auswirkung auf das Unternehmen | |
|---|---|---|---|---|---|
|
Anwendungs- spezifisch |
Ausnutzbarkeit EINFACH |
Verbreitung HÄUFIG |
Auffindbarkeit EINFACH |
Auswirkung MITTEL |
Application / Business Specific |
| Nicht authentisierte Angreifer sowie authentisierte Nutzer könnten versuchen, Zugangsdaten anderer zu stehlen. In Betracht kommen außerdem Innentäter, die ihre Handlungen verschleiern wollen. | Angreifer benutzen Standardkonten, inaktive Seiten, ungepatchte Fehler, ungeschützte Dateien und Verzeichnisse etc., um unautorisierten Zugang zum oder Kenntnis über das Zielsystem zu erlangen. | Sicherheitsrelevante Fehlkonfiguration kann auf jeder Ebene der Anwendung, inkl. Plattform, Web- und Anwendungsserver, Frameworks oder Programmcode vorkommen. Die Zusammenarbeit zwischen Entwicklern und Administratoren ist wichtig, um eine sichere Konfiguration aller Ebenen zu gewährleisten. Automatisierte Scanner können oft fehlende Sicherheitspatches, Fehlkonfigurationen, Standardkonten, nicht benötigte Dienste, usw. erkennen. | Diese Fehler geben Angreifern häufig unautorisierten Zugriff auf Systemdaten oder -funktionalitäten. Manchmal führen sie zur kompletten Kompromittierung des Zielsystems. |
Ein System könnte unbemerkt kompromittiert werden. Alle Daten könnten gestohlen oder nach und nach verändert werden. Wiederherstellungskosten können hoch sein. |
|
|
Mögliche Angriffsszenarien
Szenario 1: Eine Anwendung baut auf einem mächtigen Framework auf. XSS Fehler werden in diesem Framework gefunden. Ein Update zur Behebung der Sicherheitslücken wurde veröffentlicht, jedoch bisher nicht ausgerollt. Bis zum Update können Angreifer die Fehler in der Anwendung erkennen und ausnutzen. Szenario 2: Die Administratorkonsole mit Standardkonto wurde automatisch installiert und nicht entfernt. Angreifer entdecken dies, melden sich über das Standardkonto an und kapern das System. Szenario 3: Directory Listings wurden nicht deaktiviert. Angreifer nutzen dies, um in den Besitz aller Dateien zu kommen. Sie laden alle existierenden Java-Klassen herunter und entdecken ein Backdoor. Szenario 4: Die Anwendungsserverkonfiguration erlaubt es, Stack Traces an Benutzer zurückzugeben. Dadurch können potentielle Fehler im Backend offengelegt werden. Angreifer lieben zusätzliche Informationen in Fehlermeldungen. |
Wie kann ich 'Sicherheitsrelevante Fehlkonfiguration' verhindern?
Alle folgenden Empfehlungen sollten berücksichtigt werden:
|
|
Verteidigungs-Option 1 gegen 'Sicherheitsrelevante Fehlkonfiguration':
TbdTbd |
Verteidigungs-Option 2 gegen 'Sicherheitsrelevante Fehlkonfiguration':
TbdTbd |
|
Verteidigungs-Option 3 gegen 'Sicherheitsrelevante Fehlkonfiguration':
TbdTbd |
Referenzen
OWASP
Weitere Informationen unter ASVS requirements area for Security Configuration (V12) Andere |
|
Verteidigungs-Option 1 gegen 'Sicherheitsrelevante Fehlkonfiguration':
TbdTbd |
Verteidigungs-Option 2 gegen 'Sicherheitsrelevante Fehlkonfiguration':
TbdTbd |
|
Verteidigungs-Option 3 gegen 'Sicherheitsrelevante Fehlkonfiguration':
TbdTbd |
Referenzen
OWASP
Weitere Informationen unter ASVS requirements area for Security Configuration (V12) Andere |
|
Verteidigungs-Option 1 gegen 'Sicherheitsrelevante Fehlkonfiguration':
tbd Text |
Verteidigungs-Option 2 gegen 'Sicherheitsrelevante Fehlkonfiguration':
tbd Text |
|
Verteidigungs-Option 3 gegen 'Sicherheitsrelevante Fehlkonfiguration':
tbd Text | |
|
Auswirkung(en) auf den Benutzer
(ganze Breite) Text |
Referenzen
|
| ← A4-Unsichere direkte Objektreferenzen | A6-Verlust der Vertraulichkeit sensibler Daten → |
