This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"
(added a positive and negative Example for Hibernate) |
m |
||
Line 103: | Line 103: | ||
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]] | * [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]] | ||
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]] | * [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]] | ||
+ | * [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)] | ||
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate|language=de}} | {{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate|language=de}} | ||
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection] | * [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection] | ||
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection] | * [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection] | ||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)] | ||
− | + | ||
</td></tr></table> | </td></tr></table> | ||
Revision as of 14:51, 21 March 2013
← Top_10_fuer_Entwickler/Risiken | Top_10_fuer_Entwickler/A2_Cross-Site Scripting (XSS) → |
Seite in Bearbeitung (BAUSTELLE!!)
A1 Injection (Befehle einschleusen)
______ | Ausnutzbarkeit EINFACH |
Verbreitung HÄUFIG |
Auffindbarkeit DURCHSCHNITTLICH |
Auswirkung SCHWERWIEGEND |
Application / Business Specific |
Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. | Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. | Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen. | Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. | Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen? |
Bin ich durch 'Injection' verwundbar?
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
Durch das alleinige Vertrauen auf Frameworks kann die Abfrage verwundbar bleiben (z.B. Hibernate Query Language (HQL)): Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+request.getParameter("id")+"'");
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden. http://example.com/app/accountView?id=' or '1'='1
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen. |
Wie kann ich 'Injection' verhindern?
Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.
|
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Prepared Statements (Parameterized Queries) [nur für SQL]
Java - Standard
String custname = request.getParameter("customerName"); // This should REALLY be validated too
// perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);
ResultSet results = pstmt.executeQuery( );
Java - Hibernate
String userSuppliedParameter = request.getParameter("id"); // This should REALLY be validated too
// perform input validation to detect attacks
Query safeHQLQuery = session.createQuery("from Inventory where productID=:productid");
safeHQLQuery.setParameter("productid", userSuppliedParameter);
vgl OWASP Query_Parameterization Cheat Sheet
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Stored Procedures [nur für SQL]
Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können!
String custname = request.getParameter("customerName"); // This should REALLY be validated
try {
- CallableStatement cs = connection.prepareCall
- ("{call sp_getAccountBalance(?)}");
- ("{call sp_getAccountBalance(?)}");
- cs.setString(1, custname);ResultSet results = cs.executeQuery();
- // … result set handling
- // … result set handling
} catch (SQLException se) {
- // … logging and error handling
}
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.
Codec ORACLE_CODEC = new OracleCodec(); //added
String query = "SELECT user_id FROM user_data WHERE user_name = '" +
- ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
- req.getParameter("userID") ) + "' and user_password = '" +
- ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
- req.getParameter("pwd") ) +"'";
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
OWASP
- OWASP SQL Injection Prevention Cheat Sheet
- OWASP Injection Flaws Article
- ESAPI Encoder API
- ESAPI Input Validation API
- ASVS: Output Encoding/Escaping Requirements (V6)
- OWASP Testing Guide: Chapter on SQL Injection Testing
- OWASP Code Review Guide: Chapter on SQL Injection
- OWASP Code Review Guide: Command Injection
- OWASP Appsec: Episode 2 - Injection Attacks (Video)
Andere
- CWE Entry 77 on Command Injection
- CWE Entry 89 on SQL Injection
- BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'
(Potenziell gefährliche Zeichen für Interpreter)
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd: Register für .NET, bitte befüllen
Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
(ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd: Register für PHP, bitte befüllen
Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
(ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
(ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
← Top_10_fuer_Entwickler/Risiken | Top_10_fuer_Entwickler/A2_Cross-Site Scripting (XSS) → |