This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"
m |
|||
Line 1: | Line 1: | ||
− | {{Top_10_2010_Developer_Edition_De:TopTemplate|useprev= | + | {{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=2010NextLink|next=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)|prev=Top_10_fuer_Entwickler}} |
==Testseite in Bearbeitung (BAUSTELLE!!)== | ==Testseite in Bearbeitung (BAUSTELLE!!)== | ||
====die Überschriften kommen z.T noch von den Templates der englischen Top 10, Tbd!!==== | ====die Überschriften kommen z.T noch von den Templates der englischen Top 10, Tbd!!==== |
Revision as of 12:43, 5 February 2013
← Top_10_fuer_Entwickler | Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS) → |
Testseite in Bearbeitung (BAUSTELLE!!)
die Überschriften kommen z.T noch von den Templates der englischen Top 10, Tbd!!
A1 Befehle unterschieben (Injection)
______ | Ausnutzbarkeit EINFACH |
Verbreitung HÄUFIG |
Auffindbarkeit DURCHSCHNITTLICH |
Auiswirkung SCHWERWIEGEND |
Application / Business Specific |
Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. | Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. | Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen. | Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. | Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen? |
Am I Vulnerable To 'Injection'?
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden. http://example.com/app/accountView?id=' or '1'='1
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen. |
How Do I Prevent 'Injection'?
Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.
|
JAVA | |
Example Attack Scenarios
Prepared Statements (Parameterized Queries) [nur für SQL]String custname = request.getParameter("customerName"); // This should REALLY be validated too |
References
Stored Procedures [nur für SQL]String custname = request.getParameter("customerName"); // This should REALLY be validated
} catch (SQLException se) {
} style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
background-color:
Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP’s ESAPI. Codec ORACLE_CODEC = new OracleCodec(); //added
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
background-color:
OWASP
External |