This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A10-Ungeprüfte Um- und Weiterleitungen"
From OWASP
m (dotNET => .NET (headertabs kann jetzt auch Sonderzeichen darstellen)) |
m (Link zu 'Troy Hunt: OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards' hinzugefügt) |
||
| (11 intermediate revisions by 2 users not shown) | |||
| Line 1: | Line 1: | ||
| − | {{ | + | {{Top_10_2013_DeveloperEdition:TopTemplate |
| − | |useprev= | + | |useprev=2013PrevLinkDeveloperEdition |
| − | |usenext= | + | |usenext=2013NextLinkDeveloperEdition |
| − | |prev= | + | |prev=A9-{{Top_10_2010:ByTheNumbers |
|9 | |9 | ||
| − | | | + | |year=2013 |
| − | | | + | |language=de}} |
| − | |next= | + | |next={{Top_10:LanguageFile|text=whatsNextforDevelopers|language=de|year=2013}} |
| + | |year=2013 | ||
| + | |language=de | ||
}} | }} | ||
| − | |||
| − | + | {{Top_10_2010:SubsectionColoredTemplate | |
| − | == | + | |A10 {{Top_10_2010:ByTheNumbers |
| + | |10 | ||
| + | |year=2013 | ||
| + | |language=de}} | ||
| + | ||year=2013 | ||
| + | }} | ||
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}} | {{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}} | ||
{{Top_10:SummaryTableTemplate|exploitability=2|prevalence=3|detectability=1|impact=2|language=de|year=2013}} | {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=3|detectability=1|impact=2|language=de|year=2013}} | ||
| − | {{Top_10_2010:SummaryTableHeaderEndTemplate}} | + | {{Top_10_2010:SummaryTableHeaderEndTemplate|year=2013|language=de}} |
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein.</td> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein.</td> | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards).</td> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards).</td> | ||
| Line 50: | Line 56: | ||
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}} | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}} | ||
| + | ====Feste Weiterleitung==== | ||
| + | Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen. | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | response.sendRedirect(<nowiki>"http://www.mysite.com"</nowiki>); | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
====Whitelisting==== | ====Whitelisting==== | ||
Soweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden. | Soweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden. | ||
| + | <!------------------ | ||
{{Top_10_2010:ExampleBeginTemplate|year=2013}} | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | ------------------> | ||
Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren. | Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren. | ||
| + | <!------------------ | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | <span style="color: green;">'''tbd</span><br> | ||
| + | : <span style="color: green;">'''tbd</span><br> | ||
| + | :: <span style="color: green;">'''tbd</span><br> | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | --------------------> | ||
| + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}} | ||
| + | ====Verschleierung mittels Token==== | ||
| + | Bei einer Weiterleitung mit expliziter Angabe des Ziels ist direkt ersichtlich, dass durch einen manipulierten Link vermutlich eine Schwachstelle ausgenutzt werden kann. | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | <nowiki>http://www.example.com/redirect.jsp?url=evil.com</nowiki> | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | Statt das Ziel explizit anzugeben ist es besser, dieses über geeignete Token zu verschleiern. Eine URL mit Weiterleitung würde also entgegen dem vorigen Beispiel so aussehen: | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | <nowiki>http://www.example.com/redirect.jsp?url=JW3JF82MQ29CEH2N</nowiki> | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | Innerhalb der Webanwendung wird das Token dann in die eigentliche URL transformiert. Dies erfolgt beispielsweise durch Verwendung einer Tabelle. | ||
| + | |||
| + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=10|year=2013|language=de}} | ||
| + | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
| + | * [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]] | ||
| + | * [[Unvalidated_Redirects_and_Forwards_Cheat_Sheet | Unvalidated Redirects and Forwards Cheat Sheet]] | ||
| + | * [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode] | ||
| + | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}} | ||
| + | *[http://cwe.mitre.org/data/definitions/601.html CWE Entry 601 über offene Umleitungen (engl.)] | ||
| + | *[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen] | ||
| + | *[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen] | ||
| + | * [http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html Troy Hunt: OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards] | ||
| + | {{Top_10:SubsectionTableEndTemplate}} {{Top 10 DeveloperEdition:NavigationByHeadertab | ||
| + | |headertab=JAVA | ||
| + | |useprev=2013PrevHeaderTabDeveloperEdition | ||
| + | |usenext=Nothing | ||
| + | |prev=A9-{{Top_10_2010:ByTheNumbers | ||
| + | |9 | ||
| + | |year=2013 | ||
| + | |language=de}} | ||
| + | |next= | ||
| + | |year=2013 | ||
| + | |language=de | ||
| + | }} | ||
| + | |||
| + | = '''PHP''' = | ||
| + | <!-- Beispiele für PHP---> | ||
| + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=de}} | ||
| + | ====Referer prüfen==== | ||
| + | Bevor eine Um- oder Weiterleitung sattfindet sollte geprüft werden, von welcher Seite die aktuelle Anfrage gestellt wurde. Dies erfolgt durch Auswertung des Referers im HTTP Header.<br/> | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | $referer = $_SERVER['HTTP_REFERER'];<br> | ||
| + | $serverName = $_SERVER['SERVER_NAME'];<br> | ||
| + | $lengthServerName = strlen($serverName);<br> | ||
| + | if (substr($referer, 0, $lengthServerName) == $serverName) {<br/> | ||
| + | : // Umleitung durchführen; | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | |||
| + | |||
| + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}} | ||
| + | ====Feste Weiterleitung==== | ||
| + | Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen. | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | <?php<br> | ||
| + | :/* Redirect browser */<br> | ||
| + | :header(<nowiki>"Location: http://www.mysite.com/"</nowiki>);<br> | ||
| + | ?><br> | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | ====Whitelisting==== | ||
| + | Soweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden. | ||
| + | <!------ | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | |||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | ----------> | ||
| + | Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren. | ||
| + | <!---------------- | ||
{{Top_10_2010:ExampleBeginTemplate|year=2013}} | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| Line 64: | Line 153: | ||
:: <span style="color: green;">'''tbd</span><br> | :: <span style="color: green;">'''tbd</span><br> | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | ------------> | ||
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}} | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}} | ||
| Line 80: | Line 170: | ||
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
* [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]] | * [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]] | ||
| + | * [[Unvalidated_Redirects_and_Forwards_Cheat_Sheet | Unvalidated Redirects and Forwards Cheat Sheet]] | ||
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode] | * [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode] | ||
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}} | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}} | ||
| Line 85: | Line 176: | ||
*[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen] | *[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen] | ||
*[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen] | *[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen] | ||
| − | * OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards | + | * [http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html Troy Hunt: OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards] |
| − | {{Top_10:SubsectionTableEndTemplate}} | + | {{Top_10:SubsectionTableEndTemplate}} {{Top 10 DeveloperEdition:NavigationByHeadertab |
| − | + | |headertab=PHP | |
| + | |useprev=2013PrevHeaderTabDeveloperEdition | ||
| + | |usenext=Nothing | ||
| + | |prev=A9-{{Top_10_2010:ByTheNumbers | ||
| + | |9 | ||
| + | |year=2013 | ||
| + | |language=de}} | ||
| + | |next= | ||
| + | |year=2013 | ||
| + | |language=de | ||
| + | }} | ||
= '''.NET''' = | = '''.NET''' = | ||
| + | {{taggedSection | ||
| + | | type=tbd | ||
| + | | comment=Bitte senden Sie uns weitere gute Beispiele mit .NET für diesen Abschnitt. | ||
| + | }} | ||
<!-- Beispiele für dotNET ---> | <!-- Beispiele für dotNET ---> | ||
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=de}} | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=de}} | ||
| Line 113: | Line 218: | ||
[http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html '''Quelle: OWASP Top 10 for .NET developers part 10: Unvalidated Redirects and Forwards''']<br/> | [http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html '''Quelle: OWASP Top 10 for .NET developers part 10: Unvalidated Redirects and Forwards''']<br/> | ||
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}} | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}} | ||
| − | ==== | + | ====Feste Weiterleitung==== |
| + | Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen. | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | Response.Redirect("~/folder/Login.aspx") | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | <!--------------- | ||
{{Top_10_2010:ExampleBeginTemplate|year=2013}} | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
<span style="color: green;">'''tbd</span><br> | <span style="color: green;">'''tbd</span><br> | ||
| Line 119: | Line 229: | ||
:: <span style="color: green;">'''tbd</span><br> | :: <span style="color: green;">'''tbd</span><br> | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | + | -----------------------> | |
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}} | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}} | ||
====Tbd==== | ====Tbd==== | ||
| Line 131: | Line 241: | ||
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
* [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]] | * [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]] | ||
| + | * [[Unvalidated_Redirects_and_Forwards_Cheat_Sheet | Unvalidated Redirects and Forwards Cheat Sheet]] | ||
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode] | * [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode] | ||
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}} | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}} | ||
| Line 136: | Line 247: | ||
*[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen] | *[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen] | ||
*[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen] | *[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen] | ||
| − | * OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards | + | * [http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html Troy Hunt: OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards] |
| − | {{Top_10:SubsectionTableEndTemplate}} | + | {{Top_10:SubsectionTableEndTemplate}} {{Top 10 DeveloperEdition:NavigationByHeadertab |
| + | |headertab=.NET | ||
| + | |useprev=2013PrevHeaderTabDeveloperEdition | ||
| + | |usenext=Nothing | ||
| + | |prev=A9-{{Top_10_2010:ByTheNumbers | ||
| + | |9 | ||
| + | |year=2013 | ||
| + | |language=de}} | ||
| + | |next= | ||
| + | |year=2013 | ||
| + | |language=de | ||
| + | }} | ||
| − | + | = '''robots.txt''' = | |
| − | = '''robots txt''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position= | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstWhole|title=1|risk=10|year=2013|language=de}} |
Unabhängig von der verwendeten Programmiersprache sollte die Wahrscheinlichkeit verringert werden, dass ein Angreifer eine Webseite für die Um- bzw. Weiterleitung finden kann. Hierzu sollte insbesondere vermieden werden, dass die jeweilige Seite über Suchmaschinen gefunden werden kann. Dies kann durch die robots.txt konfiguriert werden.<br/> | Unabhängig von der verwendeten Programmiersprache sollte die Wahrscheinlichkeit verringert werden, dass ein Angreifer eine Webseite für die Um- bzw. Weiterleitung finden kann. Hierzu sollte insbesondere vermieden werden, dass die jeweilige Seite über Suchmaschinen gefunden werden kann. Dies kann durch die robots.txt konfiguriert werden.<br/> | ||
{{Top_10_2010:ExampleBeginTemplate|year=2013}} | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| Line 148: | Line 269: | ||
Disallow: /util/redirect.jsp | Disallow: /util/redirect.jsp | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | <!---------------- | ||
| + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=10|year=2013|language=de}} | ||
| + | -------------------> | ||
| + | {{Top_10:SubsectionTableEndTemplate}} {{Top 10 DeveloperEdition:NavigationByHeadertab | ||
| + | |headertab=robots.txt | ||
| + | |useprev=2013PrevHeaderTabDeveloperEdition | ||
| + | |usenext=Nothing | ||
| + | |prev=A9-{{Top_10_2010:ByTheNumbers | ||
| + | |9 | ||
| + | |year=2013 | ||
| + | |language=de}} | ||
| + | |next= | ||
| + | |year=2013 | ||
| + | |language=de | ||
| + | }} | ||
| − | + | <!------ weitere Programmiersprachen oder evtl Anti-Beispiele | |
| − | + | = '''für weitere Programmiersprachen Sprachen''' = | |
| − | + | <!-- Kommentar --- > | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | <!-- | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | = ''' | ||
| − | <!-- | ||
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013}} | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013}} | ||
{{Top_10_2010:ExampleBeginTemplate|year=2013}} | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| Line 251: | Line 312: | ||
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013}} | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013}} | ||
| − | {{Top_10:SubsectionTableEndTemplate}} | + | {{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab |
| − | + | |headertab=für weitere Programmiersprachen Sprachen | |
| − | + | |useprev=2013PrevHeaderTabDeveloperEdition | |
| − | + | |usenext=Nothing | |
| − | {{ | + | |prev=A9-{{Top_10_2010:ByTheNumbers |
| − | + | |9 | |
| − | + | |year=2013 | |
| − | + | |language=de}} | |
| − | + | |next= | |
| − | + | |year=2013 | |
| − | + | |language=de | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | | | ||
| − | | | ||
| − | | | ||
| − | |||
| − | |||
| − | |||
| − | |||
}} | }} | ||
| + | ----------------------------------------------------------------------------------------> | ||
<headertabs /> | <headertabs /> | ||
| − | + | {{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate | |
| − | {{ | ||
|type=0 | |type=0 | ||
| − | |useprev= | + | |useprev=2013PrevLinkDeveloperEdition |
| − | |usenext= | + | |usenext=2013NextLinkDeveloperEdition |
| − | |prev= | + | |prev=A9-{{Top_10_2010:ByTheNumbers |
|9 | |9 | ||
| − | | | + | |year=2013 |
| − | | | + | |language=de}} |
| − | |next= | + | |next={{Top_10:LanguageFile|text=whatsNextforDevelopers|language=de|year=2013}} |
| + | |year=2013 | ||
| + | |language=de | ||
}} | }} | ||
[[Category:OWASP Top 10 fuer Entwickler]] | [[Category:OWASP Top 10 fuer Entwickler]] | ||
Latest revision as of 21:01, 23 March 2016
| ← A9-Nutzung von Komponenten mit bekannten Schwachstellen | Nächste Schritte für Software-Entwickler → |
A10 Ungeprüfte Um- und Weiterleitungen
 |
 |
 |
 |
 | |
|---|---|---|---|---|---|
|
Anwendungs- spezifisch |
Ausnutzbarkeit DURCHSCHNITTLICH |
Verbreitung SELTEN |
Auffindbarkeit EINFACH |
Auswirkung MITTEL |
Anwendungs-/ Geschäftsspezifisch |
| Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein. | Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards). | Anwendungen nutzen regelmäßig Weiter- oder Umleitungen, um Nutzer auf andere Seiten umzulenken. Manchmal verwendet die angegriffene Seite ungeprüfte Parameter für Umleitungen, so dass Angreifer die Zielseiten selbst festlegen können. Ungeprüfte Umleitungen zu entdecken ist einfach: Suchen Sie nach Redirects, die die Angabe von URLs erlauben. Ungeprüfte Weiterleitungen zu finden ist schwieriger, da sie auf interne Seiten verweisen. | Umleitungen können Schadsoftware installieren und Nutzer verleiten, Passwörter oder sensible Daten offenzulegen. Unsichere interne Weiterleitungen ermöglichen es, Zugangskontrollen zu umgehen. | Was bedeutet Ihnen das Vertrauen Ihrer Kunden? Was ist, wenn deren PCs wg. Schadsoftware infiziert werden? Was passiert, wenn Angreifer auf nicht-öffentliche Funktionen zugreifen können? | |
|
Mögliche Angriffsszenarien
Szenario 1: Die Anwendung enthält eine Seite namens "redirect.jsp", die einen einzigen Parameter "url" verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht: http://www.example.com/redirect.jsp?url=evil.com
Szenario 2: Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte. http://www.example.com/boring.jsp?fwd=admin.jsp
|
Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?
Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:
Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt. |
|
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
Referer prüfenBevor eine Um- oder Weiterleitung sattfindet sollte geprüft werden, von welcher Seite die aktuelle Anfrage gestellt wurde. Dies erfolgt durch Auswertung des Referers im HTTP Header. String referer = request.getHeader("referer");
|
Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':
Feste WeiterleitungDie sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen. response.sendRedirect("http://www.mysite.com"); WhitelistingSoweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden. Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren. |
|
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':
Verschleierung mittels TokenBei einer Weiterleitung mit expliziter Angabe des Ziels ist direkt ersichtlich, dass durch einen manipulierten Link vermutlich eine Schwachstelle ausgenutzt werden kann. http://www.example.com/redirect.jsp?url=evil.com Statt das Ziel explizit anzugeben ist es besser, dieses über geeignete Token zu verschleiern. Eine URL mit Weiterleitung würde also entgegen dem vorigen Beispiel so aussehen: http://www.example.com/redirect.jsp?url=JW3JF82MQ29CEH2N Innerhalb der Webanwendung wird das Token dann in die eigentliche URL transformiert. Dies erfolgt beispielsweise durch Verwendung einer Tabelle. |
Referenzen
OWASP
Andere |
|
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
Referer prüfenBevor eine Um- oder Weiterleitung sattfindet sollte geprüft werden, von welcher Seite die aktuelle Anfrage gestellt wurde. Dies erfolgt durch Auswertung des Referers im HTTP Header. $referer = $_SERVER['HTTP_REFERER'];
|
Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':
Feste WeiterleitungDie sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen. <?php
?> WhitelistingSoweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden. Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren. |
|
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':
Verschleierung mittels TokenBei einer Weiterleitung mit expliziter Angabe des Ziels ist direkt ersichtlich, dass durch einen manipulierten Link vermutlich eine Schwachstelle ausgenutzt werden kann. http://www.example.com/redirect.jsp?url=evil.com Statt das Ziel explizit anzugeben ist es besser, dieses über geeignete Token zu verschleiern. Eine URL mit Weiterleitung würde also entgegen dem vorigen Beispiel so aussehen: http://www.example.com/redirect.jsp?url=JW3JF82MQ29CEH2N Innerhalb der Webanwendung wird das Token dann in die eigentliche URL transformiert. Dies erfolgt beispielsweise durch Verwendung einer Tabelle. |
Referenzen
OWASP
Andere |
This section is under construction. Please help OWASP to add missing content!
Comment: Bitte senden Sie uns weitere gute Beispiele mit .NET für diesen Abschnitt.
Comment: Bitte senden Sie uns weitere gute Beispiele mit .NET für diesen Abschnitt.
|
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
(Beispiel bisher unbearbeitet) var id = Request.QueryString["Id"];
Guid idGuid;
if (!Guid.TryParse(id, out idGuid))
}
} Quelle: OWASP Top 10 for .NET developers part 10: Unvalidated Redirects and Forwards |
Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':
Feste WeiterleitungDie sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen. Response.Redirect("~/folder/Login.aspx") |
|
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':
Tbdtbd
|
Referenzen
OWASP
Andere |
|
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':
Unabhängig von der verwendeten Programmiersprache sollte die Wahrscheinlichkeit verringert werden, dass ein Angreifer eine Webseite für die Um- bzw. Weiterleitung finden kann. Hierzu sollte insbesondere vermieden werden, dass die jeweilige Seite über Suchmaschinen gefunden werden kann. Dies kann durch die robots.txt konfiguriert werden. User-Agent: * |
| ← A9-Nutzung von Komponenten mit bekannten Schwachstellen | Nächste Schritte für Software-Entwickler → |
