This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A2-Fehler in Authentifizierung und Session-Management"
m |
m |
||
Line 20: | Line 20: | ||
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=1}} | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=1}} | ||
'''<u>Szenario 1:</u>''' Eine Flugbuchungsanwendung fügt die Session ID in die URL ein: | '''<u>Szenario 1:</u>''' Eine Flugbuchungsanwendung fügt die Session ID in die URL ein: | ||
− | {{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/sale/saleitems</nowiki>;<span style="color:red;">jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV</span>?dest=Hawaii{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt --> | + | {{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/sale/saleitems</nowiki>;<span style="color:red;">'''jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV'''</span>?dest=Hawaii{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt --> |
Ein authentifizierter Anwender möchte dieses Angebot seinen Freunden mitteilen. Er versendet obigen Link per E-Mail, ohne zu wissen, dass er seine Session-ID preisgibt. Nutzen seine Freunde den Link, können sie seine Session sowie seine Kreditkartendaten benutzen. | Ein authentifizierter Anwender möchte dieses Angebot seinen Freunden mitteilen. Er versendet obigen Link per E-Mail, ohne zu wissen, dass er seine Session-ID preisgibt. Nutzen seine Freunde den Link, können sie seine Session sowie seine Kreditkartendaten benutzen. | ||
Line 108: | Line 108: | ||
<headertabs /> | <headertabs /> | ||
− | {{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate|type=0|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/ | + | {{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate|type=0|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A4_Unsichere direkte Objektreferenzen|useprev=PrevLink_Germany_Projekte|prev=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)}} |
[[Category:OWASP Top 10 fuer Entwickler]] | [[Category:OWASP Top 10 fuer Entwickler]] |
Revision as of 16:37, 21 February 2013
← Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS) | Top_10_fuer_Entwickler/A4_Unsichere direkte Objektreferenzen → |
Seite in Bearbeitung (BAUSTELLE!!)
A3 Fehler in Authentifizierung und Session-Management
______ | Ausnutzbarkeit DURCHSCHNITTLICH |
Verbreitung HÄUFIG |
Auffindbarkeit DURCHSCHNITTLICH |
Auiswirkung SCHWERWIEGEND |
Application / Business Specific |
Nicht authentifizierte Angreifer sowie authenti- fizierte Nutzer könnten versuchen, Zugangs- daten anderer zu stehlen. In Betracht kommen außerdem Innentäter, die ihre Handlungen verschleiern wollen. | Angreifer nutzen Lücken bei der Authentifi- zierung oder im Sessionmanagement (z.B. ungeschützte Nutzerkonten, Passwörter, Session-IDs), um sich eine fremde Identität zu verschaffen. | Obwohl es sehr schwierig ist, ein sicheres Authentifizierungs- und Session-Management zu implementieren, setzen Entwickler häufig auf eigene Lösungen. Diese haben dann oft Fehler bei Abmeldung und Passwortmanagement, bei der Wiedererkennung des Benutzers, bei Timeouts, Sicherheitsabfragen usw. Das Auffinden dieser Fehler kann sehr schwierig sein, besonders wenn es sich um individuelle Implementierungen handelt. | Diese Fehler führen zur Kompromittierung von Benutzerkonten. Ein erfolgreicher Angreifer hat alle Rechte des Opfers. Privilegierte Zu- gänge sind oft Ziel solcher Angriffe. | Betrachten Sie den Geschäftswert der betro- ffenen Daten oder Anwendungsfunktionen. Betrachten Sie weiterhin Auswirkungen auf das Unter-nehmen beim Bekanntwerden der Schwachstelle. |
Am I Vulnerable To 'Injection'?
Szenario 1: Eine Flugbuchungsanwendung fügt die Session ID in die URL ein: http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
Ein authentifizierter Anwender möchte dieses Angebot seinen Freunden mitteilen. Er versendet obigen Link per E-Mail, ohne zu wissen, dass er seine Session-ID preisgibt. Nutzen seine Freunde den Link, können sie seine Session sowie seine Kreditkartendaten benutzen. Szenario 2: Anwendungs-Timeouts sind falsch konfiguriert. Ein Anwender verwendet einen öffentlichen PC, um die Anwendung aufzurufen. Anstatt die „Abmelden“ Funktion zu nutzen, schließt der Anwender nur den Browser. Der Browser ist auch eine Stunde später noch authentifiziert, wenn ein potentieller Angreifer ihn öffnet. Szenario 3: Ein Angreifer erlangt Zugang zur unverschlüsselten Passwortdatenbank des Systems. Damit fallen alle Zugangsdaten im Klartext in die Hände des Angreifers. |
How Do I Prevent 'Broken Authentication and Session Management'?
Wir empfehlen Organisationen und Unternehmen, ihren Entwicklern folgende Mittel bereitzustellen:
|
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Erfinde das Sessionmanagement nicht neu! Die verbreiteten Plattformen (wie Tomcat, Websphere, u.a.) liefern das alles schon mit.
Grundsätzliche Anforderungen:
- Schütze die SessionID (wie alle Authentisierungsdaten)´mit TLS
- Die SessionID hat in der URL nichts verloren
- Beim Logout/TimeOut wird die SessionID auf dem Server ungültig gemacht
- Benutze grundsätzlich das Secure-Attribut für Cookies, Ausnahmen davon sollten wohlbegründet sein.
- Setze für Cookies das httponly-Attribut
- Setze das Domain-Attribut in Cookies so eng wie möglich
- Verwende für die Erzeugung der SessionID einen kryptografisch sicheren Zufallszahlengeneerator (Entropy mindestens 128bit)
- Der Timeout von Cookies sollte so schnell wie möglich erfolgen (Beim Onlinebanking hat ein Wert von ca 10 Min. mittlerweile Standard)
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
OWASP
- OWASP SQL Injection Prevention Cheat Sheet
- OWASP Injection Flaws Article
- ESAPI Encoder API
- ESAPI Input Validation API
- ASVS: Output Encoding/Escaping Requirements (V6)
- OWASP Testing Guide: Chapter on SQL Injection Testing
- OWASP Code Review Guide: Chapter on SQL Injection
- OWASP Code Review Guide: Command Injection
External
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
(ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
← Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS) | Top_10_fuer_Entwickler/A4_Unsichere direkte Objektreferenzen → |