This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"

From OWASP
Jump to: navigation, search
(Beispiel gemäß Diskussion 'http://lists.owasp.org/pipermail/owasp_top_10_fuer_entwickler/2013-July/000051.html' und folgende eingefügt)
(Changed the Java - Hibernate example with named queries (many thanks to Tom Z))
 
(16 intermediate revisions by the same user not shown)
Line 14: Line 14:
 
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}}
 
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}}
 
   {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=2|impact=1|language=de|year=2013}}
 
   {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=2|impact=1|language=de|year=2013}}
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
+
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2013|language=de}}
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen.</td>
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen.</td>
+
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>[[Injection_Flaws|Injection-Schwachstellen]]
 +
tauchen auf, wenn eine Anwendung nicht vertrauenswürdige Daten an einen Interpreter weiterleitet. Sie sind weit verbreitet, besonders in veraltetem Code. Sie finden sich in SQL-, LDAP-, XPath und NoSQL-Anfragen, in Betriebssystembefehlen sowie in XML, SMTP-Headern, Parametern, etc. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach, durch externe Tests aber in der Regel nur schwer entdecken. Angreifer setzen dazu Scanner und Fuzzer ein.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen.</td>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen?</td>
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>
 +
Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann ein Image-Schaden entstehen?</td>
  
 
{{Top_10_2010:SummaryTableEndTemplate}}
 
{{Top_10_2010:SummaryTableEndTemplate}}
  
 
{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=1|year=2013|language=de}}   
 
{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=1|year=2013|language=de}}   
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der '''<u>verwundbaren</u>''' SQL-Abfrage:
+
'''Szenario 1:''' Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der <span style="color:red;">'''verwundbaren'''</span> SQL-Abfrage:
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt -->
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt -->
 
<!--- Beispiel für Hibernate hinzugefügt -->
 
<!--- Beispiel für Hibernate hinzugefügt -->
Durch das alleinige Vertrauen auf Frameworks kann die Abfrage '''<u>verwundbar</u>''' bleiben (z.B. Hibernate Query Language (HQL)):
+
'''Szenario 2:''' Blindes Vertrauen in den Einsatz eines Frameworks (hier z.B. Hibernate Query Language (HQL)):
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<span style="color:red;">Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+'''request.getParameter("id")'''+"'");</span>{{Top_10_2010:ExampleEndTemplate}}<!--- Ende Beispiel für Hibernate -->
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<span style="color:red;">Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+'''request.getParameter("id")'''+"'");</span>{{Top_10_2010:ExampleEndTemplate}}<!--- Ende Beispiel für Hibernate -->
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: <span style="color:red;">'''' or '1'='1'''</span>. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.
+
Der Angreifer verändert in beiden Fällen den 'id'-Parameter im Browser und sendet: <span style="color:red;"><b>' or '1'='1</b></span>. Zum Beispiel:
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<nowiki>http://example.com/app/accountView?id=</nowiki><span style="color: red;">'''' or '1'='1'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
+
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: <span style="color:red;"><b>' or '1'='1</b></span>.  
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<nowiki>http://example.com/app/accountView?id=</nowiki><b><span style="color: red;">'  
 
+
or '1'='1</span></b>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
 +
Das ändert die Logik der Anfrage so, dass in diesem Fall alle Datensätze der Tabelle 'accounts' zurückgegeben werden. Schlimmstenfalls werden durch Injections Daten verändert oder sogar Stored Procedures gestartet.
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=1|year=2013|language=de}}  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=1|year=2013|language=de}}  
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
+
Das Verhindern von Injection erfordert die konsequente Trennung von Eingabedaten und Befehlen.
 
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
 
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
# Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html spezielle Routinen] bereit.
+
# Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür viele [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html spezielle Routinen] bereit.
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
+
# Auch die Eingabeprüfung gegen Positivlisten (&quot;white list&quot;) wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. Ist der Einsatz von Sonderzeichen notwendig, können diese nur unter Beachtung von Punkt 1 und 2 (s.o.) sicher verwendet werden.
 +
<b>Anmerkung:</b> Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server umzusetzen bzw. durchzusetzen, optional können sie teilweise <u>zusätzlich</u> auf dem Client (z.B. Eingabeprüfung per Java Skript) realisiert werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  
Line 43: Line 47:
 
<!-- z.Z ohne Template --->
 
<!-- z.Z ohne Template --->
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}  
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}  
====Prepared Statements (Parameterized Queries) [nur für SQL]====
+
====Prepared Statements (Parameterized Queries) [nur für SQL, empfohlene Lösung]====
 
;Java - Standard
 
;Java - Standard
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
Line 52: Line 56:
 
<span style="color: green;">'''ResultSet results = pstmt.executeQuery( );'''</span>
 
<span style="color: green;">'''ResultSet results = pstmt.executeQuery( );'''</span>
 
{{Top_10_2010:ExampleEndTemplate}}<br/>  
 
{{Top_10_2010:ExampleEndTemplate}}<br/>  
;Java - Hibernate  
+
;Java - Hibernate
vgl [[Query_Parameterization Cheat Sheet | OWASP Query_Parameterization Cheat Sheet]]:
+
Beispiel mit Hibernate Query Language (HQL): Empfehlung des Projekts 'Top 10 für Entwickler' für komplexe Abfragen, vgl auch [[Query_Parameterization Cheat Sheet | OWASP Query_Parameterization Cheat Sheet]]:
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
String userSuppliedParameter = request.getParameter("id"); // This should REALLY be validated too<br>
+
@Entity // declare as entity;<br/>
 +
<span style="color: green;">'''@NamedQuery('''</span>
 +
: <span style="color: green;">''' name="findByDescription",'''</span>
 +
: <span style="color: green;">''' query="FROM Inventory i WHERE i.productDescription = :productDescription"'''</span>
 +
<span style="color: green;">''')'''</span><br/>
 +
public class Inventory implements Serializable {
 +
: @Id
 +
: private long id;
 +
: private String productDescription;
 +
}
 +
 
 +
// use case<br/>
 +
String userSuppliedParameter = request.getParameter("Product-Description"); // This should REALLY be validated too<br>
 
// perform input validation to detect attacks<br>
 
// perform input validation to detect attacks<br>
<span style="color: green;">''' Query safeHQLQuery = session.createQuery("from Inventory where productID=:productid");'''</span><br/>
+
 
<span style="color: green;">'''safeHQLQuery.setParameter("productid", userSuppliedParameter)''';</span>
+
<span style="color: green;">'''List<Inventory> list ='''</span>
 +
: <span style="color: green;">'''session.getNamedQuery("findByDescription")'''</span>
 +
: <span style="color: green;">'''.setParameter("productDescription", userSuppliedParameter).list();'''</span>
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
weitere Beispiele [http://software-security.sans.org/developer-how-to/fix-sql-injection-in-java-hibernate SANS: fix-sql-injection-in-java-hibernate]<br/>
 
<br/>
 
<br/>
Empfehlung des Projekts 'Top 10 für Entwickler':
+
Beispiel mit Hibernate Criteria Queries (Empfehlung des Projekts 'Top 10 für Entwickler'):
 
<!--- vgl http://lists.owasp.org/pipermail/owasp_top_10_fuer_entwickler/2013-July/000051.html
 
<!--- vgl http://lists.owasp.org/pipermail/owasp_top_10_fuer_entwickler/2013-July/000051.html
 
       und http://lists.owasp.org/pipermail/owasp_top_10_fuer_entwickler/2013-July/000053.html --->
 
       und http://lists.owasp.org/pipermail/owasp_top_10_fuer_entwickler/2013-July/000053.html --->
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
String userSuppliedParameter = request.getParameter("id"); // This should REALLY be validated too<br/>
+
String userSuppliedParameter = request.getParameter("Product-Description"); // This should REALLY be validated too<br/>
 
// perform input validation to detect attacks<br>
 
// perform input validation to detect attacks<br>
 
<span style="color: green;">''' Inventory inv =<br/>'''</span>
 
<span style="color: green;">''' Inventory inv =<br/>'''</span>
:: <span style="color: green;">''' (Inventory) session.createCriteria(Inventory.class).add(Restrictions.eq("productID", userSuppliedParameter)).uniqueResult();'''</span><br/>
+
: <span style="color: green;">''' (Inventory) session.createCriteria(Inventory.class).add(Restrictions.eq("productDescription", userSuppliedParameter)).uniqueResult();'''</span><br/>
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 
<br/>
 
<br/>
Line 77: Line 96:
 
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
 
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
 
String query = "SELECT user_id FROM user_data WHERE user_name = '" +<br>
 
String query = "SELECT user_id FROM user_data WHERE user_name = '" +<br>
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
+
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
: <span style="color: green;">'''req.getParameter("userID") )'''</span> + "' and user_password = '" +<br>
+
: <span style="color: green;">'''req.getParameter("userID") )'''</span> + "' and user_password = '" +<br>
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
+
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
: <span style="color: green;">'''req.getParameter("pwd") )'''</span> +"'";
+
: <span style="color: green;">'''req.getParameter("pwd") )'''</span> +"'";
 +
Anmerkung: Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server erforderlich, optional können sie teilweise <u>zusätzlich</u> auf dem Client (z.B. per Java Skript) umgesetzt werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 
<!---- gelöscht
 
<!---- gelöscht
Line 99: Line 119:
 
Die Benutzereingaben sind zunächst zu normalisieren (= kanonisieren). APIs, wie [[ESAPI | OWASP's ESAPI]] erledigen dies automatisch. Beschränken Sie bei den [[Input_Validation_Cheat_Sheet|<u>Regeln für die Postivlisten</u>]] die erlaubten Zeichen, ggf. die erlaubte Zeichenfolge und den gültigen Wertebereich bzw. die Länge der erwarteten Eingabe.
 
Die Benutzereingaben sind zunächst zu normalisieren (= kanonisieren). APIs, wie [[ESAPI | OWASP's ESAPI]] erledigen dies automatisch. Beschränken Sie bei den [[Input_Validation_Cheat_Sheet|<u>Regeln für die Postivlisten</u>]] die erlaubten Zeichen, ggf. die erlaubte Zeichenfolge und den gültigen Wertebereich bzw. die Länge der erwarteten Eingabe.
 
Seien Sie besonders vorsichtig, wenn Sie Zeichen erlauben möchten, die das Backend als Metazeichen benutzt, z.B. <b>&apos;</b> und <b>&quot;</b> (vgl [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf <u>Potenziell gefährliche Zeichen für Interpreter</u>]). Wandeln Sie diese jeweils in ungefährliche Zeichen um, z.B. mittels Kodierung vor der weiteren Verarbeitung (Encoding, z.B. in &amp;#x27; und &amp;quot;).
 
Seien Sie besonders vorsichtig, wenn Sie Zeichen erlauben möchten, die das Backend als Metazeichen benutzt, z.B. <b>&apos;</b> und <b>&quot;</b> (vgl [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf <u>Potenziell gefährliche Zeichen für Interpreter</u>]). Wandeln Sie diese jeweils in ungefährliche Zeichen um, z.B. mittels Kodierung vor der weiteren Verarbeitung (Encoding, z.B. in &amp;#x27; und &amp;quot;).
 +
Anmerkung: Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server erforderlich, optional können sie teilweise <u>zusätzlich</u> auf dem Client (z.B. per Java Skript) umgesetzt werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
//performing input validation<br/>
 
//performing input validation<br/>
Line 124: Line 145:
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
 +
* [[OWASP_Proactive_Controls | OWASP Proactive Controls:]] Kapitel über [[OWASP_Proactive_Controls#2:_Parameterize_Queries|'Parameterize Queries']],  [[OWASP_Proactive_Controls#3:_Encode_Data|'Encode Data']] und [[OWASP_Proactive_Controls#4:_Validate_All_Inputs|'Validate all Inputs']]
 
* [[Command_Injection | OWASP Injection Flaws Article]]
 
* [[Command_Injection | OWASP Injection Flaws Article]]
 
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html ESAPI Encoder API]
 
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html ESAPI Encoder API]
Line 135: Line 157:
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
 +
* [http://hibernate.org/orm/documentation Hibernate - ORM]
 
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
 
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
 
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 
     |headertab=JAVA
 
     |headertab=JAVA
    |useprev=Nothing
 
    |usenext=2013NextHeaderTabDeveloperEdition
 
    |prev=
 
    |next=A2-{{Top_10_2010:ByTheNumbers
 
              |2
 
              |year=2013
 
              |language=de}}
 
    |year=2013
 
    |language=de
 
}}
 
 
= '''.NET''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 
====Prepared Statements (Parameterized Queries) [nur für SQL]====
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
var conn = new SqlConnection(connString);<br/>
 
using (var command = new SqlCommand("GetProducts", conn))<br/>
 
{<br/>
 
:  <span style="color: green;">'''command.CommandType = CommandType.StoredProcedure;'''</span><br/>
 
:  <span style="color: green;">'''command.Parameters.Add("@CategoryID", SqlDbType.Int).Value = catID;'''</span><br/>
 
:  <span style="color: green;">'''command.Connection.Open();'''</span><br/>
 
:  <span style="color: green;">'''grdProducts.DataSource = command.ExecuteReader();'''</span><br/>
 
:  <span style="color: green;">'''grdProducts.DataBind();'''</span><br/>
 
} {{Top_10_2010:ExampleEndTemplate}}
 
vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection]
 
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
tbd: Register für .NET, bitte befüllen<br/>
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=1|year=2013|language=de}}
 
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
 
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].<br/>
 
<br/>
 
Manueller Filer für eine Zahl:
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
var catID = Request.QueryString["CategoryID"];<br/>
 
<span style="color: green;">'''var positiveIntRegex = new Regex(@"^0*[1-9][0-9]*$");'''</span><br/>
 
<span style="color: green;">'''if(!positiveIntRegex.IsMatch(catID))'''</span><br/>
 
<span style="color: green;">'''{'''</span><br/>
 
:  <span style="color: green;">'''lblResults.Text = "An invalid CategoryID has been specified.";'''</span><br/>
 
:  <span style="color: green;">'''return;'''</span><br/>
 
<span style="color: green;">'''}'''</span>
 
{{Top_10_2010:ExampleEndTemplate}}
 
vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection]
 
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=right|risk=1|year=2013|language=de}}
 
(optional)
 
Text
 
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=1|year=2013|language=de}}
 
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 
    |headertab=.NET
 
 
     |useprev=Nothing
 
     |useprev=Nothing
 
     |usenext=2013NextHeaderTabDeveloperEdition
 
     |usenext=2013NextHeaderTabDeveloperEdition
Line 206: Line 173:
  
 
= '''PHP''' =
 
= '''PHP''' =
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
+
{{taggedSection
 +
    | type=tbd
 +
    | comment=Bitte senden Sie uns weitere gute Beispiele mit PHP für diesen Abschnitt.
 +
}}
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 
====Prepared Statements (Parameterized Queries)====
 
====Prepared Statements (Parameterized Queries)====
Line 270: Line 240:
 
}}
 
}}
  
 +
= '''.NET''' =
 +
{{taggedSection
 +
    | type=tbd
 +
    | comment=Bitte senden Sie uns weitere gute Beispiele mit .NET für diesen Abschnitt.
 +
}}
 +
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 +
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 +
====Prepared Statements (Parameterized Queries) [nur für SQL]====
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
var conn = new SqlConnection(connString);<br/>
 +
using (var command = new SqlCommand("GetProducts", conn))<br/>
 +
{<br/>
 +
:  <span style="color: green;">'''command.CommandType = CommandType.StoredProcedure;'''</span><br/>
 +
:  <span style="color: green;">'''command.Parameters.Add("@CategoryID", SqlDbType.Int).Value = catID;'''</span><br/>
 +
:  <span style="color: green;">'''command.Connection.Open();'''</span><br/>
 +
:  <span style="color: green;">'''grdProducts.DataSource = command.ExecuteReader();'''</span><br/>
 +
:  <span style="color: green;">'''grdProducts.DataBind();'''</span><br/>
 +
} {{Top_10_2010:ExampleEndTemplate}}
 +
vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection]
 +
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}}
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
tbd: Register für .NET, bitte befüllen<br/>
 +
Text
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=1|year=2013|language=de}}
 +
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
 +
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].<br/>
 +
<br/>
 +
Manueller Filer für eine Zahl:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
var catID = Request.QueryString["CategoryID"];<br/>
 +
<span style="color: green;">'''var positiveIntRegex = new Regex(@"^0*[1-9][0-9]*$");'''</span><br/>
 +
<span style="color: green;">'''if(!positiveIntRegex.IsMatch(catID))'''</span><br/>
 +
<span style="color: green;">'''{'''</span><br/>
 +
:  <span style="color: green;">'''lblResults.Text = "An invalid CategoryID has been specified.";'''</span><br/>
 +
:  <span style="color: green;">'''return;'''</span><br/>
 +
<span style="color: green;">'''}'''</span>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection]
 +
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=right|risk=1|year=2013|language=de}}
 +
(optional)
 +
Text
 +
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=1|year=2013|language=de}}
 +
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=.NET
 +
    |useprev=Nothing
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=
 +
    |next=A2-{{Top_10_2010:ByTheNumbers
 +
              |2
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 +
 +
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele
 
= '''Test''' =
 
= '''Test''' =
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
Line 305: Line 335:
 
     |language=de
 
     |language=de
 
}}
 
}}
 +
----------------------------------------------------->
 
<headertabs />
 
<headertabs />
 
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate
 
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate

Latest revision as of 12:46, 11 July 2016

← Top 10
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A2-Fehler in Authentifizierung und Session-Management →
A1 Injection (Anfragen an den Interpreter manipulieren)


Bedrohungsquellen
Angriffsvektoren
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
Anwendungs-
spezifisch		 Ausnutzbarkeit
EINFACH		 Verbreitung
HÄUFIG		 Auffindbarkeit
DURCHSCHNITTLICH		 Auswirkung
SCHWERWIEGEND		 Anwendungs-/
Geschäftsspezifisch
Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauenswürdige Daten an einen Interpreter weiterleitet. Sie sind weit verbreitet, besonders in veraltetem Code. Sie finden sich in SQL-, LDAP-, XPath und NoSQL-Anfragen, in Betriebssystembefehlen sowie in XML, SMTP-Headern, Parametern, etc. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach, durch externe Tests aber in der Regel nur schwer entdecken. Angreifer setzen dazu Scanner und Fuzzer ein. Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann ein Image-Schaden entstehen?
Mögliche Angriffsszenarien

Szenario 1: Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";

Szenario 2: Blindes Vertrauen in den Einsatz eines Frameworks (hier z.B. Hibernate Query Language (HQL)):

Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+request.getParameter("id")+"'");

Der Angreifer verändert in beiden Fällen den 'id'-Parameter im Browser und sendet: ' or '1'='1. Zum Beispiel: Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1.

http://example.com/app/accountView?id=' or '1'='1

Das ändert die Logik der Anfrage so, dass in diesem Fall alle Datensätze der Tabelle 'accounts' zurückgegeben werden. Schlimmstenfalls werden durch Injections Daten verändert oder sogar Stored Procedures gestartet.

Wie kann ich 'Injection' verhindern?

Das Verhindern von Injection erfordert die konsequente Trennung von Eingabedaten und Befehlen.

  1. Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
  2. Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. OWASP's ESAPI stellt hierfür viele spezielle Routinen bereit.
  3. Auch die Eingabeprüfung gegen Positivlisten ("white list") wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. Ist der Einsatz von Sonderzeichen notwendig, können diese nur unter Beachtung von Punkt 1 und 2 (s.o.) sicher verwendet werden.

Anmerkung: Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server umzusetzen bzw. durchzusetzen, optional können sie teilweise zusätzlich auf dem Client (z.B. Eingabeprüfung per Java Skript) realisiert werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.

Verteidigungs-Option 1 gegen 'Injection':

Prepared Statements (Parameterized Queries) [nur für SQL, empfohlene Lösung]

Java - Standard

String custname = request.getParameter("customerName"); // This should REALLY be validated too
// perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);
ResultSet results = pstmt.executeQuery( );


Java - Hibernate

Beispiel mit Hibernate Query Language (HQL): Empfehlung des Projekts 'Top 10 für Entwickler' für komplexe Abfragen, vgl auch OWASP Query_Parameterization Cheat Sheet:

@Entity // declare as entity;
@NamedQuery(

name="findByDescription",
query="FROM Inventory i WHERE i.productDescription = :productDescription"

)
public class Inventory implements Serializable {

@Id
private long id;
private String productDescription;

}

// use case
String userSuppliedParameter = request.getParameter("Product-Description"); // This should REALLY be validated too
// perform input validation to detect attacks

List<Inventory> list =

session.getNamedQuery("findByDescription")
.setParameter("productDescription", userSuppliedParameter).list();

weitere Beispiele SANS: fix-sql-injection-in-java-hibernate

Beispiel mit Hibernate Criteria Queries (Empfehlung des Projekts 'Top 10 für Entwickler'):

String userSuppliedParameter = request.getParameter("Product-Description"); // This should REALLY be validated too
// perform input validation to detect attacks
Inventory inv =

(Inventory) session.createCriteria(Inventory.class).add(Restrictions.eq("productDescription", userSuppliedParameter)).uniqueResult();
Verteidigungs-Option 2 gegen 'Injection':

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)
[bisher nur für SQL]

Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.

Codec ORACLE_CODEC = new OracleCodec(); //added
String query = "SELECT user_id FROM user_data WHERE user_name = '" +

ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
req.getParameter("userID") ) + "' and user_password = '" +
ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
req.getParameter("pwd") ) +"'";

Anmerkung: Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server erforderlich, optional können sie teilweise zusätzlich auf dem Client (z.B. per Java Skript) umgesetzt werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.

Verteidigungs-Option 3 gegen 'Injection':

Benutzereingaben sorgfältig mittels Positivlisten prüfen (White List Input Validation)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Benutzereingaben sind zunächst zu normalisieren (= kanonisieren). APIs, wie OWASP's ESAPI erledigen dies automatisch. Beschränken Sie bei den Regeln für die Postivlisten die erlaubten Zeichen, ggf. die erlaubte Zeichenfolge und den gültigen Wertebereich bzw. die Länge der erwarteten Eingabe. Seien Sie besonders vorsichtig, wenn Sie Zeichen erlauben möchten, die das Backend als Metazeichen benutzt, z.B. ' und " (vgl Potenziell gefährliche Zeichen für Interpreter). Wandeln Sie diese jeweils in ungefährliche Zeichen um, z.B. mittels Kodierung vor der weiteren Verarbeitung (Encoding, z.B. in &#x27; und &quot;). Anmerkung: Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server erforderlich, optional können sie teilweise zusätzlich auf dem Client (z.B. per Java Skript) umgesetzt werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.

//performing input validation
ESAPI.validator().getValidInput
...
String query = "SELECT user_id FROM user_data WHERE user_name = '" + ...
...
Referenzen

OWASP

Andere

    JAVA »
This section is under construction. Please help OWASP to add missing content!
Comment: Bitte senden Sie uns weitere gute Beispiele mit PHP für diesen Abschnitt.
Verteidigungs-Option 1 gegen 'Injection':

Prepared Statements (Parameterized Queries)

PHP - PDO

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");

$stmt->bindParam(':name', $name);

$stmt->bindParam(':value', $value);


vgl OWASP Query_Parameterization Cheat Sheet

PHP - mysqli

$stmt = $mysqli->prepare( 'SELECT * FROM foo WHERE bar = ?' );

$stmt->bind_param( 's', $value );

Verteidigungs-Option 2 gegen 'Injection':

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI für Java.
Hier besteht die Gefahr, dass das escapen an einer Stelle vergessen wird, was die Sicherung komplett aushebeln würde.
Manueller String Filter:

$stmt = $mysqli->query( 'SELECT * FROM foo WHERE bar = ' . $mysqli->real_escape_string($input) );


Verteidigungs-Option 3 gegen 'Injection':

tbd Text

Auswirkung(en) auf den Benutzer

(optional) Text

Referenzen
    PHP »
This section is under construction. Please help OWASP to add missing content!
Comment: Bitte senden Sie uns weitere gute Beispiele mit .NET für diesen Abschnitt.
Verteidigungs-Option 1 gegen 'Injection':

Prepared Statements (Parameterized Queries) [nur für SQL]

var conn = new SqlConnection(connString);
using (var command = new SqlCommand("GetProducts", conn))
{

command.CommandType = CommandType.StoredProcedure;
command.Parameters.Add("@CategoryID", SqlDbType.Int).Value = catID;
command.Connection.Open();
grdProducts.DataSource = command.ExecuteReader();
grdProducts.DataBind();
}

vgl OWASP Top 10 for .NET developers part 1: Injection

Verteidigungs-Option 2 gegen 'Injection':

tbd: Register für .NET, bitte befüllen
Text

Verteidigungs-Option 3 gegen 'Injection':

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.

Manueller Filer für eine Zahl:

var catID = Request.QueryString["CategoryID"];
var positiveIntRegex = new Regex(@"^0*[1-9][0-9]*$");
if(!positiveIntRegex.IsMatch(catID))
{

lblResults.Text = "An invalid CategoryID has been specified.";
return;

}

vgl OWASP Top 10 for .NET developers part 1: Injection

Auswirkung(en) auf den Benutzer

(optional) Text

Referenzen
    .NET »
← Top 10
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A2-Fehler in Authentifizierung und Session-Management →
© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png
Retrieved from "https://wiki.owasp.org/index.php?title=Germany/Projekte/Top_10_fuer_Entwickler-2013/A1-Injection&oldid=218798"