This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"
(Changed Description for the userSuppliedParameter to "Product-Description") |
(Updated upper part according to OWASP Top10 2013 DE) |
||
| Line 17: | Line 17: | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td> | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen.</td> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen.</td> | ||
| − | <td colspan=2 {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht | + | <td colspan=2 {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>[[Injection_Flaws|Injection-Schwachstellen]] |
| + | tauchen auf, wenn eine Anwendung nicht vertrauenswürdige Daten an einen Interpreter weiterleitet. Sie sind weit verbreitet, besonders in veraltetem Code. Sie finden sich in SQL-, LDAP-, XPath und NoSQL-Anfragen, in Betriebssystembefehlen sowie in XML, SMTP-Headern, Parametern, etc. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach, durch externe Tests aber in der Regel nur schwer entdecken. Angreifer setzen dazu Scanner und Fuzzer ein.</td> | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen.</td> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen.</td> | ||
| − | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden | + | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}> |
| + | Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann ein Image-Schaden entstehen?</td> | ||
{{Top_10_2010:SummaryTableEndTemplate}} | {{Top_10_2010:SummaryTableEndTemplate}} | ||
{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=1|year=2013|language=de}} | {{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=1|year=2013|language=de}} | ||
| − | Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der ''' | + | '''Szenario 1:''' Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der <span style="color:red;">'''verwundbaren'''</span> SQL-Abfrage: |
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt --> | {{Top_10_2010:ExampleBeginTemplate|year=2013}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt --> | ||
<!--- Beispiel für Hibernate hinzugefügt --> | <!--- Beispiel für Hibernate hinzugefügt --> | ||
| − | + | '''Szenario 2:''' Blindes Vertrauen in den Einsatz eines Frameworks (hier z.B. Hibernate Query Language (HQL)): | |
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<span style="color:red;">Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+'''request.getParameter("id")'''+"'");</span>{{Top_10_2010:ExampleEndTemplate}}<!--- Ende Beispiel für Hibernate --> | {{Top_10_2010:ExampleBeginTemplate|year=2013}}<span style="color:red;">Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+'''request.getParameter("id")'''+"'");</span>{{Top_10_2010:ExampleEndTemplate}}<!--- Ende Beispiel für Hibernate --> | ||
| − | Der Angreifer verändert den 'id'-Parameter im Browser und | + | Der Angreifer verändert in beiden Fällen den 'id'-Parameter im Browser und sendet: <span style="color:red;"><b>' or '1'='1</b></span>. Zum Beispiel: |
| − | {{Top_10_2010:ExampleBeginTemplate|year=2013}}<nowiki>http://example.com/app/accountView?id=</nowiki><span style="color: red;">' | + | Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: <span style="color:red;"><b>' or '1'='1</b></span>. |
| − | + | {{Top_10_2010:ExampleBeginTemplate|year=2013}}<nowiki>http://example.com/app/accountView?id=</nowiki><b><span style="color: red;">' | |
| − | + | or '1'='1</span></b>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' ---> | |
| + | Das ändert die Logik der Anfrage so, dass in diesem Fall alle Datensätze der Tabelle 'accounts' zurückgegeben werden. Schlimmstenfalls werden durch Injections Daten verändert oder sogar Stored Procedures gestartet. | ||
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=1|year=2013|language=de}} | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=1|year=2013|language=de}} | ||
| − | + | Das Verhindern von Injection erfordert die konsequente Trennung von Eingabedaten und Befehlen. | |
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können. | # Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können. | ||
| − | # Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html spezielle Routinen] bereit. | + | # Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür viele [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html spezielle Routinen] bereit. |
| − | # Auch die Eingabeprüfung gegen Positivlisten | + | # Auch die Eingabeprüfung gegen Positivlisten ("white list") wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. Ist der Einsatz von Sonderzeichen notwendig, können diese nur unter Beachtung von Punkt 1 und 2 (s.o.) sicher verwendet werden. |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
Revision as of 17:18, 5 December 2014
| ← Top 10 | A2-Fehler in Authentifizierung und Session-Management → |
 |
 |
 |
 |
 | |
|---|---|---|---|---|---|
|
Anwendungs- spezifisch |
Ausnutzbarkeit EINFACH |
Verbreitung HÄUFIG |
Auffindbarkeit DURCHSCHNITTLICH |
Auswirkung SCHWERWIEGEND |
Application / Business Specific |
| Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. | Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. | Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauenswürdige Daten an einen Interpreter weiterleitet. Sie sind weit verbreitet, besonders in veraltetem Code. Sie finden sich in SQL-, LDAP-, XPath und NoSQL-Anfragen, in Betriebssystembefehlen sowie in XML, SMTP-Headern, Parametern, etc. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach, durch externe Tests aber in der Regel nur schwer entdecken. Angreifer setzen dazu Scanner und Fuzzer ein. | Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. | Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann ein Image-Schaden entstehen? | |
|
Mögliche Angriffsszenarien
Szenario 1: Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
Szenario 2: Blindes Vertrauen in den Einsatz eines Frameworks (hier z.B. Hibernate Query Language (HQL)): Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+request.getParameter("id")+"'");
Der Angreifer verändert in beiden Fällen den 'id'-Parameter im Browser und sendet: ' or '1'='1. Zum Beispiel: Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. http://example.com/app/accountView?id='
or '1'='1
Das ändert die Logik der Anfrage so, dass in diesem Fall alle Datensätze der Tabelle 'accounts' zurückgegeben werden. Schlimmstenfalls werden durch Injections Daten verändert oder sogar Stored Procedures gestartet. |
Wie kann ich 'Injection' verhindern?
Das Verhindern von Injection erfordert die konsequente Trennung von Eingabedaten und Befehlen.
|
|
Verteidigungs-Option 1 gegen 'Injection':
Prepared Statements (Parameterized Queries) [nur für SQL, empfohlene Lösung]
String custname = request.getParameter("customerName"); // This should REALLY be validated too
Beispiel mit Hibernate Query Language (HQL), vgl auch OWASP Query_Parameterization Cheat Sheet: String userSuppliedParameter = request.getParameter("Product-Description"); // This should REALLY be validated too weitere Beispiele SANS: fix-sql-injection-in-java-hibernate String userSuppliedParameter = request.getParameter("Product-Description"); // This should REALLY be validated too
|
Verteidigungs-Option 2 gegen 'Injection':
Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)
|
|
Verteidigungs-Option 3 gegen 'Injection':
Benutzereingaben sorgfältig mittels Positivlisten prüfen (White List Input Validation)Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Benutzereingaben sind zunächst zu normalisieren (= kanonisieren). APIs, wie OWASP's ESAPI erledigen dies automatisch. Beschränken Sie bei den Regeln für die Postivlisten die erlaubten Zeichen, ggf. die erlaubte Zeichenfolge und den gültigen Wertebereich bzw. die Länge der erwarteten Eingabe. Seien Sie besonders vorsichtig, wenn Sie Zeichen erlauben möchten, die das Backend als Metazeichen benutzt, z.B. ' und " (vgl Potenziell gefährliche Zeichen für Interpreter). Wandeln Sie diese jeweils in ungefährliche Zeichen um, z.B. mittels Kodierung vor der weiteren Verarbeitung (Encoding, z.B. in ' und "). //performing input validation |
Referenzen
OWASP
Andere |
|
Verteidigungs-Option 1 gegen 'Injection':
Prepared Statements (Parameterized Queries)PHP - PDO $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)"); $stmt->bindParam(':name', $name); $stmt->bindParam(':value', $value); vgl OWASP Query_Parameterization Cheat Sheet PHP - mysqli $stmt = $mysqli->prepare( 'SELECT * FROM foo WHERE bar = ?' ); $stmt->bind_param( 's', $value ); |
Verteidigungs-Option 2 gegen 'Injection':
Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI für Java. $stmt = $mysqli->query( 'SELECT * FROM foo WHERE bar = ' . $mysqli->real_escape_string($input) );
|
|
Verteidigungs-Option 3 gegen 'Injection':
tbd Text | |
|
Auswirkung(en) auf den Benutzer
(optional) Text |
Referenzen
|
|
Verteidigungs-Option 1 gegen 'Injection':
Prepared Statements (Parameterized Queries) [nur für SQL]var conn = new SqlConnection(connString);
|
Verteidigungs-Option 2 gegen 'Injection':
tbd: Register für .NET, bitte befüllen |
|
Verteidigungs-Option 3 gegen 'Injection':
Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI. var catID = Request.QueryString["CategoryID"];
} |
Auswirkung(en) auf den Benutzer
(optional) Text |
|
Referenzen
|
|
Verteidigungs-Option 1 gegen 'Injection':
tbd Text |
Verteidigungs-Option 2 gegen 'Injection':
tbd Text |
|
Verteidigungs-Option 3 gegen 'Injection':
tbd Text | |
|
Auswirkung(en) auf den Benutzer
(optional) Text |
Referenzen
|
| ← Top 10 | A2-Fehler in Authentifizierung und Session-Management → |
