This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Germany/Projekte/Top 10 fuer Entwickler-2013/A7-Fehlerhafte Autorisierung auf Anwendungsebene
| ← Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht | Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung → |
Seite in Bearbeitung (BAUSTELLE!!)
A8 Mangelhafter URL-Zugriffsschutz)
 |
 |
 |
 |
 |
|
|---|---|---|---|---|---|
| ______ | Ausnutzbarkeit EINFACH |
Verbreitung SELTEN |
Auffindbarkeit DURCHSCHNITTLICH |
Auswirkung MITTEL |
Application / Business Specific |
| Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden. Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten? |
Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff? Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen. |
In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren. Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren. | Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind. Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp. | Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten. Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle. | |
|
Am I Vulnerable To 'Injection'?
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden. http://example.com/app/accountView?id=' or '1'='1
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen. |
How Do I Prevent 'Injection'?
Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.
|
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Prepared Statements (Parameterized Queries) [nur für SQL]
String custname = request.getParameter("customerName"); // This should REALLY be validated too
// perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);
ResultSet results = pstmt.executeQuery( );
</td>
<td
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Stored Procedures [nur für SQL]
String custname = request.getParameter("customerName"); // This should REALLY be validated
try {
- CallableStatement cs = connection.prepareCall
- ("{call sp_getAccountBalance(?)}");
- ("{call sp_getAccountBalance(?)}");
- cs.setString(1, custname);ResultSet results = cs.executeQuery();
- // … result set handling
- // … result set handling
} catch (SQLException se) {
- // … logging and error handling
}
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.
Codec ORACLE_CODEC = new OracleCodec(); //added
String query = "SELECT user_id FROM user_data WHERE user_name = '" +
- ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
- req.getParameter("userID") ) + "' and user_password = '" +
- ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
- req.getParameter("pwd") ) +"'";
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
OWASP
- OWASP SQL Injection Prevention Cheat Sheet
- OWASP Injection Flaws Article
- ESAPI Encoder API
- ESAPI Input Validation API
- ASVS: Output Encoding/Escaping Requirements (V6)
- OWASP Testing Guide: Chapter on SQL Injection Testing
- OWASP Code Review Guide: Chapter on SQL Injection
- OWASP Code Review Guide: Command Injection
External
- CWE Entry 77 on Command Injection
- CWE Entry 89 on SQL Injection
- BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'
(Potenziell gefährliche Zeichen für Interpreter) - OWASP Appsec: Episode 2 - Injection Attacks (Video)
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td>
<td
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
(ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
| ← Top_10_fuer_Entwickler | Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS) → |
