This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A10-Ungeprüfte Um- und Weiterleitungen"

From OWASP
Jump to: navigation, search
(started to use new parameters 'subsection', 'position' and SubsectionTableBeginTemplate)
(Changed: Use New Varaibles of 'Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate')
Line 9: Line 9:
 
}}
 
}}
 
==TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST==
 
==TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST==
 
  
  
Line 33: Line 32:
 
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://www.example.com/boring.jsp?fwd=</nowiki><span style="color: red;">'''admin.jsp'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
 
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://www.example.com/boring.jsp?fwd=</nowiki><span style="color: red;">'''admin.jsp'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2010|language=de}}  
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2010|language=de}}  
 
'''Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:'''
 
'''Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:'''
 
# Weiter- und Umleitungen schlichtweg vermeiden.
 
# Weiter- und Umleitungen schlichtweg vermeiden.
Line 43: Line 42:
 
= '''JAVA''' =   
 
= '''JAVA''' =   
 
<!-- Beispiele für JAVA --->
 
<!-- Beispiele für JAVA --->
{{Top_10:SubsectionTableBeginTemplate}}  {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=de}} <!-- war number=3 -->
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}  {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2010|language=de}}  
 
====Tbd====
 
====Tbd====
  
Line 51: Line 50:
 
{{Top_10_2010:ExampleEndTemplate}}  
 
{{Top_10_2010:ExampleEndTemplate}}  
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=de}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2010|language=de}}
 
====Tbd====
 
====Tbd====
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
Line 59: Line 58:
 
{{Top_10_2010:ExampleEndTemplate}}  
 
{{Top_10_2010:ExampleEndTemplate}}  
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=10|year=2010|language=de}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=10|year=2010|language=de}}
 
====Tbd====
 
====Tbd====
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
Line 67: Line 66:
 
{{Top_10_2010:ExampleEndTemplate}}  
 
{{Top_10_2010:ExampleEndTemplate}}  
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=10|year=2010|language=de}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=10|year=2010|language=de}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
* [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]]
 
* [[Open_redirect | OWASP Artikel über offene Umleitungen (engl.)]]
Line 81: Line 80:
 
= '''Test''' =
 
= '''Test''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10:SubsectionTableBeginTemplate}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2010|language=de}}
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=de}}
 
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 88: Line 86:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=de}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2010|language=de}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 94: Line 92:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2010|language=de}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2010|language=de}}
 
tbd
 
tbd
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2010|language=de}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2010|language=de}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2010|language=de}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2010|language=de}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2010|language=de}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2010|language=de}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  
 
= '''Test LanguageFile 2010 en''' =
 
= '''Test LanguageFile 2010 en''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10:SubsectionTableBeginTemplate}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2010|language=en}}
 
 
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=en}}
 
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 118: Line 114:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=en}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2010|language=en}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 124: Line 120:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2010|language=en}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2010|language=en}}
 
tbd
 
tbd
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2010|language=en}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2010|language=en}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2010|language=en}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2010|language=en}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2010|language=en}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2010|language=en}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  
 
= '''Test LanguageFile 2010 us''' =
 
= '''Test LanguageFile 2010 us''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10:SubsectionTableBeginTemplate}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2010|language=us}}
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010|language=us}}
 
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 147: Line 142:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010|language=us}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2010|language=us}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 153: Line 148:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2010|language=us}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2010|language=us}}
 
tbd
 
tbd
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2010|language=us}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2010|language=us}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2010|language=us}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2010|language=us}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2010|language=us}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2010|language=us}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  
 
= '''Test LanguageFile 2010 Default''' =
 
= '''Test LanguageFile 2010 Default''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10:SubsectionTableBeginTemplate}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2010}}
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2010}}
 
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 176: Line 170:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2010}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2010}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 182: Line 176:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2010}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2010}}
 
tbd
 
tbd
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2010}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2010}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2010}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2010}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2010}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2010}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  
 
= '''Test LanguageFile 2013 Default''' =
 
= '''Test LanguageFile 2013 Default''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10:SubsectionTableBeginTemplate}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10|year=2013}}
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10|year=2013}}
 
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 205: Line 198:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10|year=2013}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 211: Line 204:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10|year=2013}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10|year=2013}}
 
tbd
 
tbd
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10|year=2013}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10|year=2013}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10|year=2013}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10|year=2013}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10|year=2013}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10|year=2013}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  
 
= '''Test LanguageFile Default''' =
 
= '''Test LanguageFile Default''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10:SubsectionTableBeginTemplate}}  {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=10}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}  {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=10}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 233: Line 226:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=10}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=10}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 239: Line 232:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=10}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=10}}
 
tbd
 
tbd
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=10}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=10}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=10}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=10}}
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=10}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=10}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{#switchtablink:Test LanguageFile Default
 
{{#switchtablink:Test LanguageFile Default

Revision as of 20:55, 6 April 2013

← Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/Risiken →

TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST

A10 Ungeprüfte Um- und Weiterleitungen

Bedrohungsquellen
Angriffsvektoren
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
______ Ausnutzbarkeit
DURCHSCHNITTLICH		 Verbreitung
SELTEN		 Auffindbarkeit
EINFACH		 Auswirkung
MITTEL		 Application / Business Specific
Angreifer, der einen Nutzer über eine beliebige Website oder HTML-Seite dazu verleitet, eine Anfrage an Ihre Website zu starten. Das können beliebige Webseiten oder HTML-Feeds sein. Nutzer klicken auf scheinbar seriöse Links von einem Angreifer, die auf bösartige Sites umleiten (Redirects). Durch unsichere Weiterleitungen kann ein Angreifer Sicherheits-prüfungen umgehen (Forwards). Anwendungen nutzen regelmäßig Weiter- oder Umleitungen, um Nutzer auf andere Seiten umzulenken. Manchmal verwendet die angegriffene Seite ungeprüfte Parameter für Umleitungen, so dass Angreifer die Zielseiten selbst festlegen können. Ungeprüfte Umleitungen zu entdecken ist einfach: Suchen Sie nach Redirects, die die Angabe von URLs erlauben. Ungeprüfte Weiterleitungen zu finden ist schwieriger, da sie auf interne Seiten verweisen. Umleitungen können Schadsoftware installieren und Nutzer verleiten, Passwörter oder sensible Daten offenzulegen. Unsichere interne Weiterleitungen ermöglichen es, Zugangskontrollen zu umgehen. Was bedeutet Ihnen das Vertrauen Ihrer Kunden? Was ist, wenn deren PCs wg. Schadsoftware infiziert werden? Was passiert, wenn Angreifer auf nicht-öffentliche Funktionen zugreifen können?
Mögliche Angriffsszenarien

Szenario 1: Die Anwendung enthält eine Seite namens "redirect.jsp", die einen einzigen Parameter "url" verwendet. Der Angreifer setzt eine URL als Parameterwert ein, die den Nutzer auf eine Website führt, die Schadcode installiert oder Phishing ermöglicht:

http://www.example.com/redirect.jsp?url=evil.com

Szenario 2: Die Anwendung verwendet interne Umleitungen, um Anfragen auf unterschiedliche Bereiche der Website weiterzureichen. Um dies zu erleichtern, können Parameter verwendet werden, um festzulegen, auf welchen Bereich der Nutzer im Erfolgsfall umgeleitet wird. In diesem Fall schleust der Angreifer eine URL als Parameter ein, die die Zugangskontrollen der Anwendung umgeht und anschließend den Angreifer auf einen administrativen Bereich leitet, auf den er normalerweise keinen Zugriff hätte.

http://www.example.com/boring.jsp?fwd=admin.jsp
Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?

Ein sicherer Einsatz von Weiter- und Umleitungen kann auf unterschiedliche Weise realisiert werden:

  1. Weiter- und Umleitungen schlichtweg vermeiden.
  2. Falls eingesetzt, verwenden Sie keine Nutzerparameter um die Ziel-URL zu berechnen. Das ist i.d.R möglich.
  3. Falls Zielparameter nicht vermeidbar sind, stellen Sie sicher, dass die Parameter gültig und die Nutzer dafür autorisiert sind. Es wird empfohlen, dass Sie jegliche Ziel-URL-Parameter mittels Zuordnungslisten erstellen, statt die echte URL oder einen Teil davon zu verwenden. Serverseitig wird der Parameter dann mit Hilfe dieser Liste der korrekten Zieladresse zugeordnet. Setzen Sie ESAPI ein, um die sendRedirect()-Methode zu überschreiben und so alle Umleitungen abzusichern.

Es ist extrem wichtig, diese Mängel zu vermeiden, da es sich um beliebte Ausgangspunkte für Phishing-Angriffe handelt.

Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':

Tbd

tbd
tbd

Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':

Tbd

tbd

tbd
tbd
Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':

Tbd

tbd

tbd
tbd
Referenzen

OWASP

Andere


Verteidigungs-Option 1 gegen 'Ungeprüfte Um- und Weiterleitungen':

tbd Text

Verteidigungs-Option 2 gegen 'Ungeprüfte Um- und Weiterleitungen':

tbd Text

Verteidigungs-Option 3 gegen 'Ungeprüfte Um- und Weiterleitungen':

tbd (ganze Breite) Text

Auswirkung(en) auf den Benutzer

Text

Wie kann ich 'Ungeprüfte Um- und Weiterleitungen' verhindern?

Text

Referenzen
Defending Option 1 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 2 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 3 against 'Unvalidated Redirects and Forwards':

tbd (ganze Breite) Text

Impact to the User

Text

How Do I Prevent 'Unvalidated Redirects and Forwards'?

Text

References
Defending Option 1 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 2 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 3 against 'Unvalidated Redirects and Forwards':

tbd (ganze Breite) Text

Impact to the User

Text

How Do I Prevent 'Unvalidated Redirects and Forwards'?

Text

References
Defending Option 1 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 2 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 3 against 'Unvalidated Redirects and Forwards':

tbd (ganze Breite) Text

Impact to the User

Text

How Do I Prevent 'Unvalidated Redirects and Forwards'?

Text

References
Defending Option 1 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 2 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 3 against 'Unvalidated Redirects and Forwards':

tbd (ganze Breite) Text

Impact to the User

Text

How Do I Prevent 'Unvalidated Redirects and Forwards'?

Text

References
Defending Option 1 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 2 against 'Unvalidated Redirects and Forwards':

tbd Text

Defending Option 3 against 'Unvalidated Redirects and Forwards':

tbd (ganze Breite) Text

Impact to the User

Text

How Do I Prevent 'Unvalidated Redirects and Forwards'?

Text

References

A5_Cross-Site Request Forgery (CSRF) <Test LanguageFile Default>


← Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/Risiken →
© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png
Retrieved from "https://wiki.owasp.org/index.php?title=Germany/Projekte/Top_10_fuer_Entwickler-2013/A10-Ungeprüfte_Um-_und_Weiterleitungen&oldid=149344"