Germany/Projekte/Top 10 fuer Entwickler-2013/A10-Ungeprüfte Um- und Weiterleitungen

Szenario 1: Die Anwendung enthält eine Seite namens "redirect.jsp", die einen einzigen Parameter "url" verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht:

Szenario 2: Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte.

Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:

1. Weiter- und Umleitungen schlichtweg vermeiden.
2. Falls eingesetzt, verwenden Sie keine Nutzerparameter um die Ziel-URL zu berechnen. Das ist i.d.R möglich.
3. Falls Zielparameter nicht vermeidbar sind, stellen Sie sicher, dass die Parameter gültig und die Nutzer dafür autorisiert sind. Es wird empfohlen, dass Sie jegliche Ziel-URL-Parameter mittels Zuordnungslisten erstellen, statt die echte URL oder einen Teil davon zu verwenden. Serverseitig wird der Parameter dann mit Hilfe dieser Liste der korrekten Zieladresse zugeordnet. Setzen Sie ESAPI ein, um die sendRedirect()-Methode zu überschreiben und so alle Umleitungen abzusichern.
   

Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt.