This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Germany/Projekte/Top 10 fuer Entwickler-2013/A10-Ungeprüfte Um- und Weiterleitungen
← Top_10_2013_fuer_Entwickler/A9_Nutzung von Komponenten mit bekannten Schwachstellen | Top 10 fuer Entwickler/Nächste Schritte für Software-Entwickler → |
TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST
A10 Ungeprüfte Um- und Weiterleitungen
Anwendungs- spezifisch |
Ausnutzbarkeit DURCHSCHNITTLICH |
Verbreitung SELTEN |
Auffindbarkeit EINFACH |
Auswirkung MITTEL |
Application / Business Specific |
Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein. | Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards). | Anwendungen nutzen regelmäßig Weiter- oder Umleitungen, um Nutzer auf andere Seiten umzulenken. Manchmal verwendet die angegriffene Seite ungeprüfte Parameter für Umleitungen, so dass Angreifer die Zielseiten selbst festlegen können. Ungeprüfte Umleitungen zu entdecken ist einfach: Suchen Sie nach Redirects, die die Angabe von URLs erlauben. Ungeprüfte Weiterleitungen zu finden ist schwieriger, da sie auf interne Seiten verweisen. | Umleitungen können Schadsoftware installieren und Nutzer verleiten, Passwörter oder sensible Daten offenzulegen. Unsichere interne Weiterleitungen ermöglichen es, Zugangskontrollen zu umgehen. | Was bedeutet Ihnen das Vertrauen Ihrer Kunden? Was ist, wenn deren PCs wg. Schadsoftware infiziert werden? Was passiert, wenn Angreifer auf nicht-öffentliche Funktionen zugreifen können? |
Mögliche Angriffsszenarien
Szenario 1: Die Anwendung enthält eine Seite namens "redirect.jsp", die einen einzigen Parameter "url" verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht: http://www.example.com/redirect.jsp?url=evil.com
Szenario 2: Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte. http://www.example.com/boring.jsp?fwd=admin.jsp
|
Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?
Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:
Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt. |
- JAVA
- dotNET
- Test
- Test LanguageFile 2010 en
- Test LanguageFile 2010 Default
- Test LanguageFile 2013 Default
- Test LanguageFile Default
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd |
Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd
|
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd
|
Referenzen
OWASP Andere
|
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
(Beispiel bisher unbearbeitet) var id = Request.QueryString["Id"];
Guid idGuid;
if (!Guid.TryParse(id, out idGuid))
}
} Quelle: OWASP Top 10 for .NET developers part 10: Unvalidated Redirects and Forwards |
Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd
|
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd
|
Referenzen
OWASP Andere
|
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
tbd Text |
Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':
tbd Text |
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':
tbd (ganze Breite) Text | |
Auswirkung(en) auf den Benutzer
Text |
Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?
Text |
Referenzen
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
References
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
References
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
References
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
References
|
A5_Cross-Site Request Forgery (CSRF) <Test LanguageFile Default>
← Top_10_2013_fuer_Entwickler/A9_Nutzung von Komponenten mit bekannten Schwachstellen | Top 10 Risks |
Top 10 fuer Entwickler/Nächste Schritte für Software-Entwickler → |