This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A10-Ungeprüfte Um- und Weiterleitungen"
From OWASP
(next: Top_10_fuer_Entwickler/{{Top_10:LanguageFile|text=whatsNextforDevelopers|language=de}}) |
m (Switch to style of 2013) |
||
| Line 2: | Line 2: | ||
|useprev=PrevLink_Germany_Projekte | |useprev=PrevLink_Germany_Projekte | ||
|usenext=NextLink_Germany_Projekte | |usenext=NextLink_Germany_Projekte | ||
| − | |prev=Top_10_fuer_Entwickler/A9_{{ | + | |prev=Top_10_fuer_Entwickler/A9_{{Top_10_2010:ByTheNumbers |
|9 | |9 | ||
|language=de | |language=de | ||
| Line 13: | Line 13: | ||
==A10 Ungeprüfte Um- und Weiterleitungen== | ==A10 Ungeprüfte Um- und Weiterleitungen== | ||
| − | {{ | + | {{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2013|language=de}} |
| − | {{ | + | {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=3|detectability=1|impact=2|language=de|year=2013}} |
| − | |||
| − | |||
| − | |||
{{Top_10_2010:SummaryTableHeaderEndTemplate}} | {{Top_10_2010:SummaryTableHeaderEndTemplate}} | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein.</td> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein.</td> | ||
| Line 26: | Line 23: | ||
<!--- OWASP-TOP-10 ohne 'Bin ich verwundbar' ----> | <!--- OWASP-TOP-10 ohne 'Bin ich verwundbar' ----> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=main}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=10|year=2013|language=de}} |
'''<u>Szenario 1</u>:''' Die Anwendung enthält eine Seite namens "<span style="color:red;">'''redirect.jsp'''</span>", die einen einzigen Parameter "<span style="color:red;">'''url'''"</span> verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht: | '''<u>Szenario 1</u>:''' Die Anwendung enthält eine Seite namens "<span style="color:red;">'''redirect.jsp'''</span>", die einen einzigen Parameter "<span style="color:red;">'''url'''"</span> verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht: | ||
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://www.example.com/redirect.jsp?url=</nowiki><span style="color:red;">'''evil.com'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des gefährlichen Pareameters eingefügt --> | {{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://www.example.com/redirect.jsp?url=</nowiki><span style="color:red;">'''evil.com'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des gefährlichen Pareameters eingefügt --> | ||
| Line 32: | Line 29: | ||
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://www.example.com/boring.jsp?fwd=</nowiki><span style="color: red;">'''admin.jsp'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' ---> | {{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://www.example.com/boring.jsp?fwd=</nowiki><span style="color: red;">'''admin.jsp'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' ---> | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013|language=de}} |
'''Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:''' | '''Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:''' | ||
# Weiter- und Umleitungen schlichtweg vermeiden. | # Weiter- und Umleitungen schlichtweg vermeiden. | ||
| Line 42: | Line 39: | ||
= '''JAVA''' = | = '''JAVA''' = | ||
<!-- Beispiele für JAVA ---> | <!-- Beispiele für JAVA ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=de}} |
====Tbd==== | ====Tbd==== | ||
| Line 50: | Line 47: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}} |
====Tbd==== | ====Tbd==== | ||
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
| Line 58: | Line 55: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}} |
====Tbd==== | ====Tbd==== | ||
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
| Line 66: | Line 63: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=10|year=2013|language=de}} |
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
* [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]] | * [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]] | ||
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode] | * [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode] | ||
| − | {{ | + | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}} |
*[http://cwe.mitre.org/data/definitions/601.html CWE Entry 601 über offene Umleitungen (engl.)] | *[http://cwe.mitre.org/data/definitions/601.html CWE Entry 601 über offene Umleitungen (engl.)] | ||
*[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen] | *[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen] | ||
| Line 80: | Line 77: | ||
= '''Test''' = | = '''Test''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 86: | Line 83: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 92: | Line 89: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2013|language=de}} |
tbd | tbd | ||
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2013|language=de}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013|language=de}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013|language=de}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''Test LanguageFile 2010 en''' = | = '''Test LanguageFile 2010 en''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=en}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 114: | Line 111: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=en}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 120: | Line 117: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2013|language=en}} |
tbd | tbd | ||
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2013|language=en}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013|language=en}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013|language=en}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''Test LanguageFile 2010 us''' = | = '''Test LanguageFile 2010 us''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=us}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 142: | Line 139: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=us}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 148: | Line 145: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2013|language=us}} |
tbd | tbd | ||
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2013|language=us}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013|language=us}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013|language=us}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''Test LanguageFile 2010 Default''' = | = '''Test LanguageFile 2010 Default''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 170: | Line 167: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 176: | Line 173: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2013}} |
tbd | tbd | ||
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2013}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''Test LanguageFile 2013 Default''' = | = '''Test LanguageFile 2013 Default''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 198: | Line 195: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 204: | Line 201: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2013}} |
tbd | tbd | ||
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2013}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''Test LanguageFile Default''' = | = '''Test LanguageFile Default''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 226: | Line 223: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 232: | Line 229: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10}} |
tbd | tbd | ||
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10}} |
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
{{#switchtablink:Test LanguageFile Default | {{#switchtablink:Test LanguageFile Default | ||
| − | |A5_{{ | + | |A5_{{Top_10_2010:ByTheNumbers |
|5 | |5 | ||
|language=de | |language=de | ||
|year=2010}} <Test LanguageFile Default> | |year=2010}} <Test LanguageFile Default> | ||
| − | |Germany/Projekte/Top 10 fuer Entwickler/A5_{{ | + | |Germany/Projekte/Top 10 fuer Entwickler/A5_{{Top_10_2010:ByTheNumbers |
|5 | |5 | ||
|language=de | |language=de | ||
| Line 257: | Line 254: | ||
<headertabs /> | <headertabs /> | ||
| − | {{ | + | {{Top_10_2010:BottomAdvancedTemplate |
|type=0 | |type=0 | ||
|useprev=PrevLink_Germany_Projekte | |useprev=PrevLink_Germany_Projekte | ||
|usenext=NextLink_Germany_Projekte | |usenext=NextLink_Germany_Projekte | ||
| − | |prev=Top_10_fuer_Entwickler/A9_{{ | + | |prev=Top_10_fuer_Entwickler/A9_{{Top_10_2010:ByTheNumbers |
|9 | |9 | ||
|language=de | |language=de | ||
Revision as of 22:02, 18 April 2013
| ← Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht | Top 10 fuer Entwickler/Nächste Schritte für Software-Entwickler → |
TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST
A10 Ungeprüfte Um- und Weiterleitungen
| Bedrohungsquellen | Angriffsvektoren | Schwachstellen | Technische Auswirkung | Auswirkung auf das Unternehmen | |
|---|---|---|---|---|---|
|
Anwendungs- spezifisch |
Ausnutzbarkeit DURCHSCHNITTLICH |
Verbreitung SELTEN |
Auffindbarkeit EINFACH |
Auswirkung MITTEL |
Application / Business Specific |
| Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein. | Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards). | Anwendungen nutzen regelmäßig Weiter- oder Umleitungen, um Nutzer auf andere Seiten umzulenken. Manchmal verwendet die angegriffene Seite ungeprüfte Parameter für Umleitungen, so dass Angreifer die Zielseiten selbst festlegen können. Ungeprüfte Umleitungen zu entdecken ist einfach: Suchen Sie nach Redirects, die die Angabe von URLs erlauben. Ungeprüfte Weiterleitungen zu finden ist schwieriger, da sie auf interne Seiten verweisen. | Umleitungen können Schadsoftware installieren und Nutzer verleiten, Passwörter oder sensible Daten offenzulegen. Unsichere interne Weiterleitungen ermöglichen es, Zugangskontrollen zu umgehen. | Was bedeutet Ihnen das Vertrauen Ihrer Kunden? Was ist, wenn deren PCs wg. Schadsoftware infiziert werden? Was passiert, wenn Angreifer auf nicht-öffentliche Funktionen zugreifen können? | |
|
Mögliche Angriffsszenarien
Szenario 1: Die Anwendung enthält eine Seite namens "redirect.jsp", die einen einzigen Parameter "url" verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht: http://www.example.com/redirect.jsp?url=evil.com
Szenario 2: Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte. http://www.example.com/boring.jsp?fwd=admin.jsp
|
Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?
Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:
Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt. |
- JAVA
- Test
- Test LanguageFile 2010 en
- Test LanguageFile 2010 us
- Test LanguageFile 2010 Default
- Test LanguageFile 2013 Default
- Test LanguageFile Default
|
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd |
Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd
|
|
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd
|
Referenzen
OWASP Andere
|
|
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
tbd Text |
Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':
tbd Text |
|
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':
tbd (ganze Breite) Text | |
|
Auswirkung(en) auf den Benutzer
Text |
Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?
Text |
|
Referenzen
| |
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
|
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
|
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
|
References
| |
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
|
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
|
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
|
References
| |
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
|
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
|
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
|
References
| |
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
|
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
|
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
|
References
| |
|
Defending Option 1 against 'Unvalidated Redirects and Forwards':
tbd Text |
Defending Option 2 against 'Unvalidated Redirects and Forwards':
tbd Text |
|
Defending Option 3 against 'Unvalidated Redirects and Forwards':
tbd (ganze Breite) Text | |
|
Impact to the User
Text |
How Do I Prevent 'Unvalidated Redirects and Forwards'?
Text |
|
References
| |
A5_Cross-Site Request Forgery (CSRF) <Test LanguageFile Default>
| ← Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht | Top 10 Risks |
Top 10 fuer Entwickler/Nächste Schritte für Software-Entwickler → |
