This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A10-Ungeprüfte Um- und Weiterleitungen"

From OWASP
Jump to: navigation, search
m (Test default of LanguageFile)
m (Link zu 'Troy Hunt: OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards' hinzugefügt)
 
(41 intermediate revisions by 3 users not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate
+
{{Top_10_2013_DeveloperEdition:TopTemplate
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
     |prev=Top_10_fuer_Entwickler/A9_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
+
     |prev=A9-{{Top_10_2010:ByTheNumbers
 
               |9
 
               |9
               |language=de
+
              |year=2013
              |year=2010}}
+
               |language=de}}
     |next=Top_10_fuer_Entwickler/Risiken
+
    |next={{Top_10:LanguageFile|text=whatsNextforDevelopers|language=de|year=2013}}
 +
     |year=2013
 +
    |language=de
 
}}
 
}}
==TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST==
 
  
 +
{{Top_10_2010:SubsectionColoredTemplate
 +
      |A10 {{Top_10_2010:ByTheNumbers
 +
              |10
 +
              |year=2013
 +
              |language=de}}
 +
      ||year=2013
 +
}}
  
 +
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}}
 +
  {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=3|detectability=1|impact=2|language=de|year=2013}}
 +
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2013|language=de}}
 +
    <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein.</td>
 +
    <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards).</td>
 +
    <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Anwendungen nutzen regelmäßig Weiter- oder Umleitungen, um Nutzer auf andere Seiten umzulenken. Manchmal verwendet die angegriffene Seite ungeprüfte Parameter für Umleitungen, so dass Angreifer die Zielseiten selbst festlegen können. Ungeprüfte Umleitungen zu entdecken ist einfach: Suchen Sie nach Redirects, die die Angabe von URLs erlauben. Ungeprüfte Weiterleitungen zu finden ist schwieriger, da sie auf interne Seiten verweisen.</td>
 +
    <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Umleitungen können Schadsoftware installieren und Nutzer verleiten, Passwörter oder sensible Daten offenzulegen. Unsichere interne Weiterleitungen ermöglichen es, Zugangskontrollen zu umgehen.</td>
 +
    <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Was bedeutet Ihnen das Vertrauen Ihrer Kunden? Was ist, wenn deren PCs wg. Schadsoftware infiziert werden? Was passiert, wenn Angreifer auf nicht-öffentliche Funktionen zugreifen können?</td>{{Top_10_2010:SummaryTableEndTemplate}}
  
==A10 Ungeprüfte Um- und Weiterleitungen==
+
<!--- OWASP-TOP-10 ohne 'Bin ich verwundbar' ---->
===(Text noch von A1_Injektion)===
+
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=10|year=2013|language=de}}   
 
+
'''<u>Szenario 1</u>:''' Die Anwendung enthält eine Seite namens &quot;<span style="color:red;">'''redirect.jsp'''</span>&quot;, die einen einzigen Parameter &quot;<span style="color:red;">'''url'''&quot;</span> verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht:
{{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<nowiki>http://www.example.com/redirect.jsp?url=</nowiki><span style="color:red;">'''evil.com'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des gefährlichen Pareameters eingefügt -->
{{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}}
+
'''<u>Szenario 2</u>:''' Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte.
{{Top_10_2010:SummaryTableValue-2-Template|Verbreitung|HÄUFIG}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}<nowiki>http://www.example.com/boring.jsp?fwd=</nowiki><span style="color: red;">'''admin.jsp'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
{{Top_10_2010:SummaryTableValue-2-Template|Auffindbarkeit|DURCHSCHNITTLICH}}
 
{{Top_10_2010:SummaryTableValue-1-Template|Auswirkung|SCHWERWIEGEND}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
    <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
 
    <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen.</td>
 
    <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen.</td>
 
    <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen.</td>
 
    <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen?</td>
 
 
 
{{Top_10_2010:SummaryTableEndTemplate}}
 
 
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=10|year=2010|language=de}}   
 
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der '''<u>verwundbaren</u>''' SQL-Abfrage:
 
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt -->
 
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.
 
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/app/accountView?id=</nowiki><span style="color: red;">'''' or '1'='1'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
 
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
 
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2010|language=de}}  
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013|language=de}}  
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
+
'''Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:'''
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
+
# Weiter- und Umleitungen schlichtweg vermeiden.
# Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html|spezielle Routinen] bereit.
+
# Falls eingesetzt, verwenden Sie keine Nutzerparameter um die Ziel-URL zu berechnen. Das ist i.d.R möglich.
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
+
# Falls Zielparameter nicht vermeidbar sind, stellen Sie sicher, dass die Parameter gültig und die Nutzer dafür autorisiert sind. Es wird empfohlen, dass Sie jegliche Ziel-URL-Parameter mittels Zuordnungslisten erstellen, statt die echte URL oder einen Teil davon zu verwenden. Serverseitig wird der Parameter dann mit Hilfe dieser Liste der korrekten Zieladresse zugeordnet. Setzen Sie ESAPI ein, um die [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) sendRedirect()]-Methode zu überschreiben und so alle Umleitungen abzusichern.<br/>
</td> </tr>
+
Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt.
</table>
+
{{Top_10:SubsectionTableEndTemplate}}
  
 
= '''JAVA''' =   
 
= '''JAVA''' =   
<!-- z.Z ohne Template --->
+
<!-- Beispiele für JAVA --->
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=de}} <!-- war number=3 -->
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}  {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=de}}
====Prepared Statements (Parameterized Queries) [nur für SQL]====
+
====Referer prüfen====
 +
Bevor eine Um- oder Weiterleitung sattfindet sollte geprüft werden, von welcher Seite die aktuelle Anfrage gestellt wurde. Dies erfolgt durch Auswertung des Referers im HTTP Header.<br/>
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
String referer = request.getHeader("referer");<br>
 +
if request.getRequestURL().toString().startsWith(referer)<br/>
 +
: // Umleitung durchführen;
 +
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010:ExampleBeginTemplate}}
 
String custname = request.getParameter("customerName"); // This should REALLY be validated too<br>
 
// perform input validation to detect attacks<br>
 
String query = "SELECT account_balance FROM user_data WHERE <span style="color: green;">'''user_name = ? ";'''</span><br>
 
<span style="color: green;">'''PreparedStatement pstmt = connection.prepareStatement( query );<br>pstmt.setString( 1, custname);'''</span><br>
 
<span style="color: green;">'''ResultSet results = pstmt.executeQuery( );'''</span>
 
{{Top_10_2010:ExampleEndTemplate}}
 
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=de}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}}
====Stored Procedures [nur für SQL]====
+
====Feste Weiterleitung====
{{Top_10_2010:ExampleBeginTemplate}}
+
Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen.
String custname = request.getParameter("customerName"); // This should REALLY be validated<br>
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
<span style="color: green;">'''try {'''</span>
+
response.sendRedirect(<nowiki>"http://www.mysite.com"</nowiki>);
: <span style="color: green;">'''CallableStatement cs = connection.prepareCall'''</span><br>
 
::  <span style="color: green;">'''("{call sp_getAccountBalance(?)}");'''</span><br>
 
: <span style="color: green;">'''cs.setString(1, custname);ResultSet results = cs.executeQuery();</span><br>
 
::  <span style="color: green;">'''// … result set handling'''</span><br>
 
<span style="color: green;">'''} catch (SQLException se) {'''</span><br>
 
: <span style="color: green;">'''// … logging and error handling'''</span><br>
 
<span style="color: green;">'''}'''</span>
 
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
====Whitelisting====
 +
Soweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden.
 +
<!------------------
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=10|year=2010|language=de}}
 
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
 
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].
 
{{Top_10_2010:ExampleBeginTemplate}}
 
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
 
String query = "SELECT user_id FROM user_data WHERE user_name = '" +<br>
 
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
 
: <span style="color: green;">'''req.getParameter("userID") )'''</span> + "' and user_password = '" +<br>
 
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
 
: <span style="color: green;">'''req.getParameter("pwd") )'''</span> +"'";
 
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
------------------>
 +
Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren.
 +
<!------------------
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<span style="color: green;">'''tbd</span><br>
 +
: <span style="color: green;">'''tbd</span><br>
 +
::  <span style="color: green;">'''tbd</span><br>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
-------------------->
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}}
 +
====Verschleierung mittels Token====
 +
Bei einer Weiterleitung mit expliziter Angabe des Ziels ist direkt ersichtlich, dass durch einen manipulierten Link vermutlich eine Schwachstelle ausgenutzt werden kann.
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<nowiki>http://www.example.com/redirect.jsp?url=evil.com</nowiki>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
Statt das Ziel explizit anzugeben ist es besser, dieses über geeignete Token zu verschleiern. Eine URL mit Weiterleitung würde also entgegen dem vorigen Beispiel so aussehen:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<nowiki>http://www.example.com/redirect.jsp?url=JW3JF82MQ29CEH2N</nowiki>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
Innerhalb der Webanwendung wird das Token dann in die eigentliche URL transformiert. Dies erfolgt beispielsweise durch Verwendung einer Tabelle.
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=10|year=2010|language=de}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=10|year=2013|language=de}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
+
* [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]]
* [[Command_Injection | OWASP Injection Flaws Article]]
+
* [[Unvalidated_Redirects_and_Forwards_Cheat_Sheet | Unvalidated Redirects and Forwards Cheat Sheet]]
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html ESAPI Encoder API]
+
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode]
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html ESAPI Input Validation API]
+
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}}
* [http://www.owasp.org/index.php/ASVS#tab=Downloads ASVS: Output Encoding/Escaping Requirements (V6)]
+
*[http://cwe.mitre.org/data/definitions/601.html CWE Entry 601 über offene Umleitungen (engl.)]
* [[Testing_for_SQL_Injection_(OWASP-DV-005) | OWASP Testing Guide: Chapter on SQL Injection Testing]]
+
*[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen]
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
+
*[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen]
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
+
* [http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html Troy Hunt: OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards]
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate}}
+
{{Top_10:SubsectionTableEndTemplate}} {{Top 10 DeveloperEdition:NavigationByHeadertab
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
+
    |headertab=JAVA
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
+
    |useprev=2013PrevHeaderTabDeveloperEdition
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
+
    |usenext=Nothing
* [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)]
+
    |prev=A9-{{Top_10_2010:ByTheNumbers
</td></tr></table>
+
              |9
 +
              |year=2013
 +
              |language=de}}
 +
    |next=
 +
    |year=2013
 +
    |language=de
 +
}}
  
= '''Test''' =
+
= '''PHP''' =
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
+
<!-- Beispiele für PHP--->
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=de}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}  {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}
+
====Referer prüfen====
tbd
+
Bevor eine Um- oder Weiterleitung sattfindet sollte geprüft werden, von welcher Seite die aktuelle Anfrage gestellt wurde. Dies erfolgt durch Auswertung des Referers im HTTP Header.<br/>
Text
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
$referer = $_SERVER['HTTP_REFERER'];<br>
 +
$serverName = $_SERVER['SERVER_NAME'];<br>
 +
$lengthServerName = strlen($serverName);<br>
 +
if (substr($referer, 0, $lengthServerName) == $serverName) {<br/>
 +
: // Umleitung durchführen;
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=de}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2010|language=de}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}}
tbd
+
====Feste Weiterleitung====
Text
+
Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen.
 
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2010|language=de}}
+
<?php<br>
(ganze Breite)
+
:/* Redirect browser */<br>
Text
+
:header(<nowiki>"Location: http://www.mysite.com/"</nowiki>);<br>
 
+
?><br>
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2010|language=de}}
 
</td></tr></table>
 
= '''Test LanguageFile 2010 en''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=en}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
Text
 
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
====Whitelisting====
 +
Soweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden.
 +
<!------
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=en}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
Text
 
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
---------->
 +
Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren.
 +
<!----------------
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2010|language=en}}
 
tbd
 
Text
 
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2010|language=en}}
 
(ganze Breite)
 
Text
 
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2010|language=en}}
 
</td></tr></table>
 
= '''Test LanguageFile 2010 us''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=us}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
Text
 
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<span style="color: green;">'''tbd</span><br>
 +
: <span style="color: green;">'''tbd</span><br>
 +
::  <span style="color: green;">'''tbd</span><br>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
------------>
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=us}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}
+
====Verschleierung mittels Token====
tbd
+
Bei einer Weiterleitung mit expliziter Angabe des Ziels ist direkt ersichtlich, dass durch einen manipulierten Link vermutlich eine Schwachstelle ausgenutzt werden kann.
Text
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<nowiki>http://www.example.com/redirect.jsp?url=evil.com</nowiki>
 +
{{Top_10_2010:ExampleEndTemplate}}  
 +
Statt das Ziel explizit anzugeben ist es besser, dieses über geeignete Token zu verschleiern. Eine URL mit Weiterleitung würde also entgegen dem vorigen Beispiel so aussehen:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<nowiki>http://www.example.com/redirect.jsp?url=JW3JF82MQ29CEH2N</nowiki>
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
Innerhalb der Webanwendung wird das Token dann in die eigentliche URL transformiert. Dies erfolgt beispielsweise durch Verwendung einer Tabelle.
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2010|language=us}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=10|year=2013|language=de}}
tbd
+
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
Text
+
* [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]]
 +
* [[Unvalidated_Redirects_and_Forwards_Cheat_Sheet | Unvalidated Redirects and Forwards Cheat Sheet]]
 +
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode]
 +
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}}
 +
*[http://cwe.mitre.org/data/definitions/601.html CWE Entry 601 über offene Umleitungen (engl.)]
 +
*[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen]
 +
*[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen]
 +
* [http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html Troy Hunt: OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards]
 +
{{Top_10:SubsectionTableEndTemplate}} {{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=PHP
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=Nothing
 +
    |prev=A9-{{Top_10_2010:ByTheNumbers
 +
              |9
 +
              |year=2013
 +
              |language=de}}
 +
    |next=
 +
    |year=2013
 +
    |language=de
 +
}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2010|language=us}}
+
= '''.NET''' = 
(ganze Breite)
+
{{taggedSection
Text
+
    | type=tbd
 
+
    | comment=Bitte senden Sie uns weitere gute Beispiele mit .NET für diesen Abschnitt.
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2010|language=us}}
+
}}
</td></tr></table>
+
<!-- Beispiele für dotNET --->
= '''Test LanguageFile 2010 Default''' =
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}  {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013|language=de}}  
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
+
(Beispiel bisher unbearbeitet)
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
{{Top_10_2010:ExampleBeginTemplate}}
+
var id = Request.QueryString["Id"];
tbd
+
Guid idGuid;
Text
+
if (!Guid.TryParse(id, out idGuid))<br/>
 +
{<br/>
 +
:  // Gracefully exit with a warning message
 +
}<br/>
 +
<br/>
 +
var db = new MyTrustedSiteEntities();<br/>
 +
<span style="color: green;">var allowableUrl = '''db.AllowableUrls.SingleOrDefault(u => u.Id == idGuid);'''</span><br/>
 +
if (allowableUrl == null)<br/>
 +
{
 +
:  // Gracefully exit with a warning message
 +
}<br/>
 +
<br/>
 +
LogRedirect(allowableUrl.Url);<br/>
 +
Response.Redirect(allowableUrl.Url);<br>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
[http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html '''Quelle: OWASP Top 10 for .NET developers part 10: Unvalidated Redirects and Forwards''']<br/>
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013|language=de}}
 +
====Feste Weiterleitung====
 +
Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen.
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
Response.Redirect("~/folder/Login.aspx")
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
<!---------------
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<span style="color: green;">'''tbd</span><br>
 +
: <span style="color: green;">'''tbd</span><br>
 +
::  <span style="color: green;">'''tbd</span><br>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
----------------------->
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2013|language=de}}
 +
====Tbd====
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<span style="color: green;">'''tbd</span><br>
 +
: <span style="color: green;">'''tbd</span><br>
 +
::  <span style="color: green;">'''tbd</span><br>
 +
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=10|year=2013|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}
+
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
tbd
+
* [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]]
Text
+
* [[Unvalidated_Redirects_and_Forwards_Cheat_Sheet | Unvalidated Redirects and Forwards Cheat Sheet]]
{{Top_10_2010:ExampleEndTemplate}}
+
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String) ESAPI SecurityWrapperResponse sendRedirect() Methode]
 +
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2013|language=de}}
 +
*[http://cwe.mitre.org/data/definitions/601.html CWE Entry 601 über offene Umleitungen (engl.)]
 +
*[http://projects.webappsec.org/URL-Redirector-Abuse WASC Artikel über den Missbrauch von URL-Umleitungen]
 +
*[http://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.html Google Blog Artikel über die Gefahren von offenen Umleitungen]
 +
* [http://www.troyhunt.com/2011/12/owasp-top-10-for-net-developers-part-10.html Troy Hunt: OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards]
 +
{{Top_10:SubsectionTableEndTemplate}} {{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=.NET
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=Nothing
 +
    |prev=A9-{{Top_10_2010:ByTheNumbers
 +
              |9
 +
              |year=2013
 +
              |language=de}}
 +
    |next=
 +
    |year=2013
 +
    |language=de
 +
}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2010}}
+
= '''robots.txt''' =
tbd
 
Text
 
 
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2010}}
 
(ganze Breite)
 
Text
 
 
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2010}}
 
</td></tr></table>
 
= '''Test LanguageFile 2013 Default''' =
 
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2013}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}  {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstWhole|title=1|risk=10|year=2013|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}
+
Unabhängig von der verwendeten Programmiersprache sollte die Wahrscheinlichkeit verringert werden, dass ein Angreifer eine Webseite für die Um- bzw. Weiterleitung finden kann. Hierzu sollte insbesondere vermieden werden, dass die jeweilige Seite über Suchmaschinen gefunden werden kann. Dies kann durch die robots.txt konfiguriert werden.<br/>
tbd
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
Text
+
User-Agent: *<br/>
 +
Disallow: /util/redirect.jsp
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
<!----------------
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=10|year=2013|language=de}}
 +
------------------->
 +
{{Top_10:SubsectionTableEndTemplate}} {{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=robots.txt
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=Nothing
 +
    |prev=A9-{{Top_10_2010:ByTheNumbers
 +
              |9
 +
              |year=2013
 +
              |language=de}}
 +
    |next=
 +
    |year=2013
 +
    |language=de
 +
}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2013}}
+
<!------ weitere Programmiersprachen oder evtl Anti-Beispiele
{{Top_10_2010:ExampleBeginTemplate}}
+
= '''für weitere Programmiersprachen Sprachen''' =
 +
<!-- Kommentar --- >
 +
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013}}
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
tbd
 
tbd
 
Text
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2013}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013}}
tbd
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
Text
 
 
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2013}}
 
(ganze Breite)
 
Text
 
 
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2013}}
 
</td></tr></table>
 
= '''Test LanguageFile Default''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
 
tbd
 
tbd
 
Text
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2013}}
{{Top_10_2010:ExampleBeginTemplate}}
 
 
tbd
 
tbd
 +
(ganze Breite)
 
Text
 
Text
{{Top_10_2010:ExampleEndTemplate}}
 
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2013}}
tbd
 
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013}}
(ganze Breite)
 
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013}}
</td></tr></table>
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=für weitere Programmiersprachen Sprachen
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=Nothing
 +
    |prev=A9-{{Top_10_2010:ByTheNumbers
 +
              |9
 +
              |year=2013
 +
              |language=de}}
 +
    |next=
 +
    |year=2013
 +
    |language=de
 +
}}
 +
---------------------------------------------------------------------------------------->
 
<headertabs />
 
<headertabs />
 
+
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
 
 
     |type=0
 
     |type=0
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
     |prev=Top_10_fuer_Entwickler/A9_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
+
     |prev=A9-{{Top_10_2010:ByTheNumbers
 
               |9
 
               |9
               |language=de
+
              |year=2013
              |year=2010}}
+
               |language=de}}
     |next=Top_10_fuer_Entwickler/Risiken
+
    |next={{Top_10:LanguageFile|text=whatsNextforDevelopers|language=de|year=2013}}
 +
     |year=2013
 +
    |language=de
 
}}
 
}}
  
 
[[Category:OWASP Top 10 fuer Entwickler]]
 
[[Category:OWASP Top 10 fuer Entwickler]]

Latest revision as of 21:01, 23 March 2016

← A9-Nutzung von Komponenten mit bekannten Schwachstellen
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Nächste Schritte für Software-Entwickler →
A10 Ungeprüfte Um- und Weiterleitungen


Bedrohungsquellen
Angriffsvektoren
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
Anwendungs-
spezifisch
Ausnutzbarkeit
DURCHSCHNITTLICH
Verbreitung
SELTEN
Auffindbarkeit
EINFACH
Auswirkung
MITTEL
Anwendungs-/
Geschäftsspezifisch
Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein. Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards). Anwendungen nutzen regelmäßig Weiter- oder Umleitungen, um Nutzer auf andere Seiten umzulenken. Manchmal verwendet die angegriffene Seite ungeprüfte Parameter für Umleitungen, so dass Angreifer die Zielseiten selbst festlegen können. Ungeprüfte Umleitungen zu entdecken ist einfach: Suchen Sie nach Redirects, die die Angabe von URLs erlauben. Ungeprüfte Weiterleitungen zu finden ist schwieriger, da sie auf interne Seiten verweisen. Umleitungen können Schadsoftware installieren und Nutzer verleiten, Passwörter oder sensible Daten offenzulegen. Unsichere interne Weiterleitungen ermöglichen es, Zugangskontrollen zu umgehen. Was bedeutet Ihnen das Vertrauen Ihrer Kunden? Was ist, wenn deren PCs wg. Schadsoftware infiziert werden? Was passiert, wenn Angreifer auf nicht-öffentliche Funktionen zugreifen können?
Mögliche Angriffsszenarien

Szenario 1: Die Anwendung enthält eine Seite namens "redirect.jsp", die einen einzigen Parameter "url" verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht:

http://www.example.com/redirect.jsp?url=evil.com

Szenario 2: Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte.

http://www.example.com/boring.jsp?fwd=admin.jsp
Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?

Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:

  1. Weiter- und Umleitungen schlichtweg vermeiden.
  2. Falls eingesetzt, verwenden Sie keine Nutzerparameter um die Ziel-URL zu berechnen. Das ist i.d.R möglich.
  3. Falls Zielparameter nicht vermeidbar sind, stellen Sie sicher, dass die Parameter gültig und die Nutzer dafür autorisiert sind. Es wird empfohlen, dass Sie jegliche Ziel-URL-Parameter mittels Zuordnungslisten erstellen, statt die echte URL oder einen Teil davon zu verwenden. Serverseitig wird der Parameter dann mit Hilfe dieser Liste der korrekten Zieladresse zugeordnet. Setzen Sie ESAPI ein, um die sendRedirect()-Methode zu überschreiben und so alle Umleitungen abzusichern.

Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt.

Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':

Referer prüfen

Bevor eine Um- oder Weiterleitung sattfindet sollte geprüft werden, von welcher Seite die aktuelle Anfrage gestellt wurde. Dies erfolgt durch Auswertung des Referers im HTTP Header.

String referer = request.getHeader("referer");
if request.getRequestURL().toString().startsWith(referer)

// Umleitung durchführen;


Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':

Feste Weiterleitung

Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen.

response.sendRedirect("http://www.mysite.com");

Whitelisting

Soweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden. Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren.

Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':

Verschleierung mittels Token

Bei einer Weiterleitung mit expliziter Angabe des Ziels ist direkt ersichtlich, dass durch einen manipulierten Link vermutlich eine Schwachstelle ausgenutzt werden kann.

http://www.example.com/redirect.jsp?url=evil.com

Statt das Ziel explizit anzugeben ist es besser, dieses über geeignete Token zu verschleiern. Eine URL mit Weiterleitung würde also entgegen dem vorigen Beispiel so aussehen:

http://www.example.com/redirect.jsp?url=JW3JF82MQ29CEH2N

Innerhalb der Webanwendung wird das Token dann in die eigentliche URL transformiert. Dies erfolgt beispielsweise durch Verwendung einer Tabelle.

Referenzen

OWASP

Andere

« JAVA    
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':

Referer prüfen

Bevor eine Um- oder Weiterleitung sattfindet sollte geprüft werden, von welcher Seite die aktuelle Anfrage gestellt wurde. Dies erfolgt durch Auswertung des Referers im HTTP Header.

$referer = $_SERVER['HTTP_REFERER'];
$serverName = $_SERVER['SERVER_NAME'];
$lengthServerName = strlen($serverName);
if (substr($referer, 0, $lengthServerName) == $serverName) {

// Umleitung durchführen;


Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':

Feste Weiterleitung

Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen.

<?php

/* Redirect browser */
header("Location: http://www.mysite.com/");

?>

Whitelisting

Soweit möglich sollten keine beliebigen Um- oder Weiterleitungen über eine Webseite möglich sein. Insbesondere externe URLs sollten möglichst ausgeschlossen werden. Sofern auch externe Weiterleitungen erfolgen sollen empfiehlt es sich, die legitimen Domänen in einer Whitelist explizit zu benennen und alle anderen zu blockieren.

Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':

Verschleierung mittels Token

Bei einer Weiterleitung mit expliziter Angabe des Ziels ist direkt ersichtlich, dass durch einen manipulierten Link vermutlich eine Schwachstelle ausgenutzt werden kann.

http://www.example.com/redirect.jsp?url=evil.com

Statt das Ziel explizit anzugeben ist es besser, dieses über geeignete Token zu verschleiern. Eine URL mit Weiterleitung würde also entgegen dem vorigen Beispiel so aussehen:

http://www.example.com/redirect.jsp?url=JW3JF82MQ29CEH2N

Innerhalb der Webanwendung wird das Token dann in die eigentliche URL transformiert. Dies erfolgt beispielsweise durch Verwendung einer Tabelle.

Referenzen

OWASP

Andere

« PHP    
This section is under construction. Please help OWASP to add missing content!
Comment: Bitte senden Sie uns weitere gute Beispiele mit .NET für diesen Abschnitt.
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':

(Beispiel bisher unbearbeitet)

var id = Request.QueryString["Id"]; Guid idGuid; if (!Guid.TryParse(id, out idGuid))
{

// Gracefully exit with a warning message

}

var db = new MyTrustedSiteEntities();
var allowableUrl = db.AllowableUrls.SingleOrDefault(u => u.Id == idGuid);
if (allowableUrl == null)
{

// Gracefully exit with a warning message

}

LogRedirect(allowableUrl.Url);
Response.Redirect(allowableUrl.Url);

Quelle: OWASP Top 10 for .NET developers part 10: Unvalidated Redirects and Forwards

Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':

Feste Weiterleitung

Die sicherste Methode sind feste Weiterleitungen ohne weitere Interaktion der Benutzer. Wird letzteres benötigt, kann die Weiterleitung beispielsweise auch nach der Auswahl eines Menüpunktes erfolgen.

Response.Redirect("~/folder/Login.aspx")

Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':

Tbd

tbd

tbd
tbd
Referenzen

OWASP

Andere

« .NET    
Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':

Unabhängig von der verwendeten Programmiersprache sollte die Wahrscheinlichkeit verringert werden, dass ein Angreifer eine Webseite für die Um- bzw. Weiterleitung finden kann. Hierzu sollte insbesondere vermieden werden, dass die jeweilige Seite über Suchmaschinen gefunden werden kann. Dies kann durch die robots.txt konfiguriert werden.

User-Agent: *
Disallow: /util/redirect.jsp

← A9-Nutzung von Komponenten mit bekannten Schwachstellen
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Nächste Schritte für Software-Entwickler →

© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png