This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A10-Ungeprüfte Um- und Weiterleitungen"
m ({{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate|year=2010|language=de}}: year and language added) |
(Text von der deutschen Version übernommen) |
||
Line 16: | Line 16: | ||
{{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate|year=2010|language=de}} | {{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate|year=2010|language=de}} | ||
− | {{Top_10_2010:SummaryTableValue- | + | {{Top_10_2010:SummaryTableValue-2-Template|Ausnutzbarkeit|DURCHSCHNITTLICH}} |
− | {{Top_10_2010:SummaryTableValue- | + | {{Top_10_2010:SummaryTableValue-3-Template|Verbreitung|SELTEN}} |
− | {{Top_10_2010:SummaryTableValue- | + | {{Top_10_2010:SummaryTableValue-1-Template|Auffindbarkeit|EINFACH}} |
− | {{Top_10_2010:SummaryTableValue- | + | {{Top_10_2010:SummaryTableValue-2-Template|Auswirkung|MITTEL}} |
{{Top_10_2010:SummaryTableHeaderEndTemplate}} | {{Top_10_2010:SummaryTableHeaderEndTemplate}} | ||
− | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}> | + | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein.</td> |
− | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}> | + | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards).</td> |
− | <td colspan=2 {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}> | + | <td colspan=2 {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Anwendungen nutzen regelmäßig Weiter- oder Umleitungen, um Nutzer auf andere Seiten umzulenken. Manchmal verwendet die angegriffene Seite ungeprüfte Parameter für Umleitungen, so dass Angreifer die Zielseiten selbst festlegen können. Ungeprüfte Umleitungen zu entdecken ist einfach: Suchen Sie nach Redirects, die die Angabe von URLs erlauben. Ungeprüfte Weiterleitungen zu finden ist schwieriger, da sie auf interne Seiten verweisen.</td> |
− | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}> | + | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Umleitungen können Schadsoftware installieren und Nutzer verleiten, Passwörter oder sensible Daten offenzulegen. Unsichere interne Weiterleitungen ermöglichen es, Zugangskontrollen zu umgehen.</td> |
− | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}> | + | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Was bedeutet Ihnen das Vertrauen Ihrer Kunden? Was ist, wenn deren PCs wg. Schadsoftware infiziert werden? Was passiert, wenn Angreifer auf nicht-öffentliche Funktionen zugreifen können?</td>{{Top_10_2010:SummaryTableEndTemplate}} |
− | |||
− | {{Top_10_2010:SummaryTableEndTemplate}} | ||
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=10|year=2010|language=de}} | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=10|year=2010|language=de}} | ||
− | + | '''<u>Szenario 1</u>:''' Die Anwendung enthält eine Seite namens "<span style="color:red;">'''redirect.jsp'''</span>", die einen einzigen Parameter "<span style="color:red;">'''url'''"</span> verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht: | |
− | {{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;"> | + | {{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://www.example.com/redirect.jsp?url=</nowiki><span style="color:red;">'''evil.com'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des gefährlichen Pareameters eingefügt --> |
− | + | '''<u>Szenario 2</u>:''' Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte. | |
− | {{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/ | + | {{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://www.example.com/boring.jsp?fwd=</nowiki><span style="color: red;">'''admin.jsp'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' ---> |
− | |||
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2010|language=de}} | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2010|language=de}} | ||
− | ''' | + | '''Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:''' |
− | # | + | # Weiter- und Umleitungen schlichtweg vermeiden. |
− | # | + | # Falls eingesetzt, verwenden Sie keine Nutzerparameter um die Ziel-URL zu berechnen. Das ist i.d.R möglich. |
− | + | # Falls Zielparameter nicht vermeidbar sind, stellen Sie sicher, dass die Parameter gültig und die Nutzer dafür autorisiert sind. Es wird empfohlen, dass Sie jegliche Ziel-URL-Parameter mittels Zuordnungslisten erstellen, statt die echte URL oder einen Teil davon zu verwenden. Serverseitig wird der Parameter dann mit Hilfe dieser Liste der korrekten Zieladresse zugeordnet. Setzen Sie ESAPI ein, um die [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) sendRedirect()]-Methode zu überschreiben und so alle Umleitungen abzusichern.<br/> | |
+ | Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt. | ||
</td> </tr> | </td> </tr> | ||
</table> | </table> | ||
Line 47: | Line 45: | ||
<!-- z.Z ohne Template ---> | <!-- z.Z ohne Template ---> | ||
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=de}} <!-- war number=3 --> | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=de}} <!-- war number=3 --> | ||
− | ==== | + | ====Tbd==== |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
Line 58: | Line 56: | ||
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=de}} | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=de}} | ||
− | ==== | + | ====Tbd==== |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
String custname = request.getParameter("customerName"); // This should REALLY be validated<br> | String custname = request.getParameter("customerName"); // This should REALLY be validated<br> | ||
Line 72: | Line 70: | ||
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=10|year=2010|language=de}} | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=10|year=2010|language=de}} | ||
− | ==== | + | ====Tbd==== |
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]]. | Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]]. | ||
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
Line 85: | Line 83: | ||
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=10|year=2010|language=de}} | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=10|year=2010|language=de}} | ||
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
− | * [[ | + | * [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]] |
− | + | * [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode] | |
− | * [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/ | + | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2010|language=de}} |
− | + | *[http://cwe.mitre.org/data/definitions/601.html CWE Entry 601 über offene Umleitungen (engl.)] | |
− | + | *[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen] | |
− | + | *[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen] | |
− | + | * OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards (tbd: LINK!!) | |
− | |||
− | {{ | ||
− | * [http://cwe.mitre.org/data/definitions/ | ||
− | * [http:// | ||
− | * [ | ||
− | * | ||
</td></tr></table> | </td></tr></table> | ||
Revision as of 17:17, 18 March 2013
← Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht | Top_10_fuer_Entwickler/Risiken → |
TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST
A10 Ungeprüfte Um- und Weiterleitungen
(Text noch von A1_Injektion)
______ | Ausnutzbarkeit DURCHSCHNITTLICH |
Verbreitung SELTEN |
Auffindbarkeit EINFACH |
Auswirkung MITTEL |
Application / Business Specific |
Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein. | Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards). | Anwendungen nutzen regelmäßig Weiter- oder Umleitungen, um Nutzer auf andere Seiten umzulenken. Manchmal verwendet die angegriffene Seite ungeprüfte Parameter für Umleitungen, so dass Angreifer die Zielseiten selbst festlegen können. Ungeprüfte Umleitungen zu entdecken ist einfach: Suchen Sie nach Redirects, die die Angabe von URLs erlauben. Ungeprüfte Weiterleitungen zu finden ist schwieriger, da sie auf interne Seiten verweisen. | Umleitungen können Schadsoftware installieren und Nutzer verleiten, Passwörter oder sensible Daten offenzulegen. Unsichere interne Weiterleitungen ermöglichen es, Zugangskontrollen zu umgehen. | Was bedeutet Ihnen das Vertrauen Ihrer Kunden? Was ist, wenn deren PCs wg. Schadsoftware infiziert werden? Was passiert, wenn Angreifer auf nicht-öffentliche Funktionen zugreifen können? |
Bin ich durch 'Ungeprüfte Um- und Weiterleitungen' verwundbar?
Szenario 1: Die Anwendung enthält eine Seite namens "redirect.jsp", die einen einzigen Parameter "url" verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht: http://www.example.com/redirect.jsp?url=evil.com
Szenario 2: Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte. http://www.example.com/boring.jsp?fwd=admin.jsp
|
Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?
Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:
Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt. |
- JAVA
- Test
- Test LanguageFile 2010 en
- Test LanguageFile 2010 us
- Test LanguageFile 2010 Default
- Test LanguageFile 2013 Default
- Test LanguageFile Default
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Tbd
String custname = request.getParameter("customerName"); // This should REALLY be validated too
// perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);
ResultSet results = pstmt.executeQuery( );
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Tbd
String custname = request.getParameter("customerName"); // This should REALLY be validated
try {
- CallableStatement cs = connection.prepareCall
- ("{call sp_getAccountBalance(?)}");
- ("{call sp_getAccountBalance(?)}");
- cs.setString(1, custname);ResultSet results = cs.executeQuery();
- // … result set handling
- // … result set handling
} catch (SQLException se) {
- // … logging and error handling
}
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Tbd
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.
Codec ORACLE_CODEC = new OracleCodec(); //added
String query = "SELECT user_id FROM user_data WHERE user_name = '" +
- ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
- req.getParameter("userID") ) + "' and user_password = '" +
- ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
- req.getParameter("pwd") ) +"'";
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
OWASP
Andere
- CWE Entry 601 über offene Umleitungen (engl.)
- WASC Artikel über den Missbrauch von URL-Umleitungen
- Google Blog Artikel über die Gefahren von offenen Umleitungen
- OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards (tbd: LINK!!)
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd (ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd (ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd (ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd (ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4d953d;
background-color:
- F8FFF8;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4d953d;
background-color:
- F8FFF8;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4d953d;
background-color:
- F8FFF8;">
tbd (ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4d953d;
background-color:
- F8FFF8;">
Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4d953d;
background-color:
- F8FFF8;">
Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4d953d;
background-color:
- F8FFF8;">
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd (ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table> A5_Cross-Site Request Forgery (CSRF) <Test LanguageFile Default>
← Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht | Top_10_fuer_Entwickler/Risiken → |