This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A2-Fehler in Authentifizierung und Session-Management"
(Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug für 'Secure-Flag' und 'HTTPonly' hinzugefügt)) |
m (redaktionelle Änderung) |
||
(19 intermediate revisions by 3 users not shown) | |||
Line 1: | Line 1: | ||
− | {{ | + | {{Top_10_2013_DeveloperEdition:TopTemplate |
− | |useprev= | + | |usenext=2013NextLinkDeveloperEdition |
− | | | + | |next=A3-{{Top_10_2010:ByTheNumbers |
− | | | + | |3 |
+ | |year=2013 | ||
+ | |language=de}} | ||
+ | |useprev=2013PrevLinkDeveloperEdition | ||
+ | |prev=A1-{{Top_10_2010:ByTheNumbers | ||
+ | |1 | ||
+ | |year=2013 | ||
+ | |language=de}} | ||
+ | |year=2013 | ||
+ | |language=de | ||
+ | }} | ||
+ | |||
+ | {{Top_10_2010:SubsectionColoredTemplate | ||
+ | |A2 {{Top_10_2010:ByTheNumbers | ||
|2 | |2 | ||
− | | | + | |year=2013 |
− | | | + | |language=de}} |
− | + | ||year=2013 | |
− | |||
− | |||
− | |||
}} | }} | ||
− | |||
− | |||
− | |||
− | {{ | + | {{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}} |
− | {{ | + | {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=1|detectability=2|impact=1|language=de|year=2013}} |
− | + | {{Top_10_2010:SummaryTableHeaderEndTemplate|year=2013|language=de}} | |
− | + | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Nicht authentifizierte Angreifer sowie authentifizierte Nutzer könnten versuchen, Zugangsdaten anderer zu stehlen. In Betracht kommen außerdem Innentäter, die ihre Handlungen verschleiern wollen.</td> | |
− | |||
− | {{Top_10_2010:SummaryTableHeaderEndTemplate}} | ||
− | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Nicht authentifizierte Angreifer sowie authentifizierte Nutzer könnten versuchen, | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer nutzen Lücken bei der Authentifizierung oder im Sessionmanagement (z.B. ungeschützte Nutzerkonten, Passwörter, Session-IDs), um sich eine fremde Identität zu verschaffen.</td> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer nutzen Lücken bei der Authentifizierung oder im Sessionmanagement (z.B. ungeschützte Nutzerkonten, Passwörter, Session-IDs), um sich eine fremde Identität zu verschaffen.</td> | ||
− | <td colspan=2 {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Obwohl es sehr schwierig ist, ein sicheres Authentifizierungs- und Session-Management zu implementieren, setzen Entwickler häufig auf eigene Lösungen. Diese haben dann oft Fehler bei Abmeldung und Passwortmanagement, bei der Wiedererkennung des Benutzers, bei Timeouts, Sicherheitsabfragen usw. Das Auffinden dieser Fehler kann sehr schwierig sein, besonders wenn es sich um individuelle Implementierungen handelt.</td> | + | <td colspan=2 {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}> |
+ | Obwohl es sehr schwierig ist, ein sicheres Authentifizierungs- und Session-Management zu implementieren, setzen Entwickler häufig auf eigene Lösungen. Diese haben dann oft Fehler bei Abmeldung und Passwortmanagement, bei der Wiedererkennung des Benutzers, bei Timeouts, Sicherheitsabfragen usw. Das Auffinden dieser Fehler kann sehr schwierig sein, besonders wenn es sich um individuelle Implementierungen handelt.</td> | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Diese Fehler führen zur Kompromittierung von Benutzerkonten. Ein erfolgreicher Angreifer hat alle Rechte des Opfers. Privilegierte Zugänge sind oft Ziel solcher Angriffe.</td> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Diese Fehler führen zur Kompromittierung von Benutzerkonten. Ein erfolgreicher Angreifer hat alle Rechte des Opfers. Privilegierte Zugänge sind oft Ziel solcher Angriffe.</td> | ||
− | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Geschäftswert der betroffenen Daten oder Anwendungsfunktionen. Betrachten Sie weiterhin Auswirkungen auf das | + | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Geschäftswert der betroffenen Daten oder Anwendungsfunktionen. Betrachten Sie weiterhin Auswirkungen auf das Unternehmen beim Bekanntwerden der Schwachstelle.</td> |
{{Top_10_2010:SummaryTableEndTemplate}} | {{Top_10_2010:SummaryTableEndTemplate}} | ||
− | {{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk= | + | {{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=2|year=2013|language=de}} |
− | ''' | + | '''Szenario 1:''' Eine Flugbuchungsanwendung fügt die Session-ID in die URL ein: |
− | {{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/sale/saleitems</nowiki>;<span style="color:red;">'''jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV'''</span>?dest=Hawaii{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt --> | + | {{Top_10_2010:ExampleBeginTemplate|year=2013}}<nowiki>http://example.com/sale/saleitems</nowiki>;<span style="color:red;">'''jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV'''</span>?dest=Hawaii{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt --> |
Ein authentifizierter Anwender möchte dieses Angebot seinen Freunden mitteilen. Er versendet obigen Link per E-Mail, ohne zu wissen, dass er seine Session-ID preisgibt. Nutzen seine Freunde den Link, können sie seine Session sowie seine Kreditkartendaten benutzen. | Ein authentifizierter Anwender möchte dieses Angebot seinen Freunden mitteilen. Er versendet obigen Link per E-Mail, ohne zu wissen, dass er seine Session-ID preisgibt. Nutzen seine Freunde den Link, können sie seine Session sowie seine Kreditkartendaten benutzen. | ||
− | ''' | + | '''Szenario 2:''' Anwendungs-Timeouts sind falsch konfiguriert. Ein Anwender benutzt einen öffentlichen PC, um die Anwendung aufzurufen. Anstatt die "Abmelden"-Funktion zu benutzen, schließt der Anwender nur den Browser. Der Browser ist auch eine Stunde später noch authentifiziert, wenn ein potentieller Angreifer ihn öffnet. |
− | |||
− | |||
− | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk= | + | '''Szenario 3:''' Ein Angreifer erlangt Zugang zur nicht richtig gehashten Passwortdatenbank des Systems. Damit fallen alle Zugangsdaten quasi im Klartext in die Hände des Angreifers. |
+ | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=2|year=2013|language=de}} | ||
Wir empfehlen Organisationen und Unternehmen, ihren Entwicklern folgende Mittel bereitzustellen: | Wir empfehlen Organisationen und Unternehmen, ihren Entwicklern folgende Mittel bereitzustellen: | ||
− | # Zentrale Mechanismen für wirksame Authentifizierung und Session-Management, die folgendes leisten: | + | # <b>Zentrale Mechanismen für eine wirksame Authentifizierung und Session-Management</b>, die folgendes leisten: |
− | ## Einhaltung aller Anforderungen an Authentifizierung und Session-Management aus dem OWASP Application Security Verification Standard (ASVS) V2 und V3. | + | ## Einhaltung aller Anforderungen an Authentifizierung und Session-Management aus dem OWASP Einhaltung aller Anforderungen an Authentifizierung und Session-Management aus dem OWASP [[ASVS | Application Security Verification Standard]] (ASVS) V2 und V3. |
− | ## Eine einfache Schnittstelle für Entwickler. Als gutes Beispiel können die ESAPI Authenticator and User APIs herangezogen werden. | + | ## Eine einfache Schnittstelle für Entwickler. Als gutes Beispiel können die [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.html ESAPI Authenticator and User APIs] herangezogen werden. |
− | # | + | # Schwachstellen, die XSS oder den Diebstahl von Session-IDs ermöglichen, sind unter allen Umständen zu vermeiden. Siehe [[Germany/Projekte/Top 10 fuer Entwickler-2013/{{Top_10_2010:ByTheNumbers |
+ | |3 | ||
+ | |year=2013 | ||
+ | |language=de}}| A3]]. | ||
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''JAVA''' = | = '''JAVA''' = | ||
<!-- Beispiele für JAVA ---> | <!-- Beispiele für JAVA ---> | ||
− | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position= | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLongLeft|title=1|risk=2|year=2013|language=de}} |
<b>Erfinde das Sessionmanagement nicht neu!</b> Die verbreiteten Plattformen (wie Tomcat, Websphere, u.a.) liefern das alles schon mit.<br> | <b>Erfinde das Sessionmanagement nicht neu!</b> Die verbreiteten Plattformen (wie Tomcat, Websphere, u.a.) liefern das alles schon mit.<br> | ||
Grundsätzliche Anforderungen an das Session Management: | Grundsätzliche Anforderungen an das Session Management: | ||
− | * SessionID mit TLS schützen (wie alle Authentifizierungsdaten) | + | * SessionID mit TLS schützen (wie alle Authentifizierungsdaten) (->web.xml) |
− | * die SessionID hat in der URL nichts verloren | + | * die SessionID hat in der URL nichts verloren (->web.xml) |
* nach jeder erfolgreichen Authentifizierung eine neue SessionID generieren | * nach jeder erfolgreichen Authentifizierung eine neue SessionID generieren | ||
* für die Erzeugung der SessionID einen kryptografisch sicheren Zufallszahlengenerator verwenden (Entropy mindestens 128bit) | * für die Erzeugung der SessionID einen kryptografisch sicheren Zufallszahlengenerator verwenden (Entropy mindestens 128bit) | ||
− | * der Timeout von Cookies sollte so schnell wie möglich erfolgen (beim Onlinebanking ist ein Wert von ca 10 Min. mittlerweile Standard) | + | * Durch den <b>Server bzw. die Anwendung</b> sollte ein absolutes Session-Timeout <b>und</b> ein 'Inaktivitäts-Timeout' durchgesetzt werden |
− | * beim Logout/TimeOut wird die SessionID auf dem Server ungültig gemacht | + | * Expire und Max-Age Attribute (->web.xml): |
− | * grundsätzlich das Secure-Attribut für Cookies benutzen | + | :* Session-Cookies (ohne Timeout): Weder 'Expire', noch 'Max-Age' setzen, damit das Cookie im Browser nicht dauerhaft gespeichert wird |
− | * für Cookies das httponly-Attribut setzen | + | :* Beim Benutzen von permanenten Cookies sollten aus Kompatibilitätsgründen beide Werte gesetzt werden; der Timeout von Cookies sollte so schnell wie möglich erfolgen (beim Ansichern von Transaktionen im Onlinebanking ist ein Wert von ca 10 Min. mittlerweile Standard) |
+ | * beim Logout/TimeOut wird die SessionID auf dem Server ungültig gemacht, dasselbe sollte auch auf dem Client erfolgen (z.B. Cookie mit einem ungültigen Wert überschrieben und einen 'Expire'-Wert in der Vergangenheit setzen) | ||
+ | * grundsätzlich das Secure-Attribut für Cookies benutzen (->web.xml), Voraussetzung: Absicherung der Verbindung mittels https | ||
+ | * für Cookies das httponly-Attribut setzen (->web.xml) | ||
+ | * Domain-und Pfad-Attribut in Cookies so eng wie möglich setzen (->web.xml) | ||
+ | |||
+ | |||
+ | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=2|year=2013|language=de}} | ||
+ | '''Beispiel:''' | ||
{{Top_10_2010:ExampleBeginTemplate|year=2013}} | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
− | ;Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug | + | ;Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug): |
<session-config> | <session-config> | ||
+ | : <!-- Define a session timeout to 10 minutes --> | ||
+ | : <session-timeout>10</session-timeout> | ||
+ | : | ||
+ | : <!-- Define that the JSESSIONID is stored in a cookie --> | ||
+ | : <tracking-mode>COOKIE</tracking-mode> | ||
+ | : | ||
+ | : <!-- Define cookie parameters '<u>[[HttpOnly#Using_Java_to_Set_HttpOnly|HttpOnly]]</u>' and '<u>[[SecureFlag#web.xml|Secure-Flag]]</u>' --> | ||
: <cookie-config> | : <cookie-config> | ||
:: <secure>true</secure> | :: <secure>true</secure> | ||
:: <http-only>true</http-only> | :: <http-only>true</http-only> | ||
: </cookie-config> | : </cookie-config> | ||
− | <session-config> | + | <session-config><br/> |
+ | <security-constraint> | ||
+ | : <web-resource-collection> | ||
+ | :: <web-resource-name>Entire Application</web-resource-name> | ||
+ | :: <url-pattern>/*</url-pattern> | ||
+ | : </web-resource-collection> | ||
+ | : <!-- ssl only --> | ||
+ | : <user-data-constraint> | ||
+ | :: <transport-guarantee>CONFIDENTIAL</transport-guarantee> | ||
+ | : </user-data-constraint> | ||
+ | </security-constraint> | ||
+ | |||
+ | <context-param> | ||
+ | :<param-name>sessionCookieDomain</param-name> | ||
+ | :<param-value>.domain.tld</param-value> | ||
+ | :<param-name>sessionCookiePath</param-name> | ||
+ | :<param-value>/something</param-value> | ||
+ | </context-param> | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
− | |||
+ | |||
+ | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=2|year=2013|language=de}} | ||
+ | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
+ | |||
+ | Einen umfangreicheren Überblick über Anforderungen und zu vermeidende Probleme gibt [[ASVS | ASVS requirements areas for Authentication (V2) and Session Management (V3)]]. | ||
+ | * [[Authentication_Cheat_Sheet | OWASP Authentication Cheat Sheet]] | ||
+ | * [[Forgot_Password_Cheat_Sheet | OWASP Forgot Password Cheat Sheet]] | ||
+ | * [[Session_Management_Cheat_Sheet | OWASP Session Management Cheat Sheet]] | ||
+ | * [[OWASP_Proactive_Controls | OWASP Proactive Controls:]] [[OWASP_Proactive_Controls#5:_Implement_Identity_and_Authentication_Controls|Kapitel über 'Implement Identity and Authentication Controls']] | ||
+ | * [[:Category:OWASP_Guide_Project | OWASP Development Guide: Kapitel über Authentifikation]] | ||
+ | * [[Testing_for_authentication | OWASP Testing Guide: Kapitel über Authentifikation]] | ||
+ | * [[Testing_for_Session_Management | OWASP Testing Guide: Kapitel über Session Management]] | ||
+ | * [[Testing_for_Logout_and_Browser_Cache_Management_%28OWASP-AT-007%29 | OWASP Testing Guide: Abschitt über Logout]] | ||
+ | |||
+ | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}} | ||
+ | * [http://cwe.mitre.org/data/definitions/287.html CWE Entry 287 on Improper Authentication] | ||
+ | * [http://cwe.mitre.org/data/definitions/384.html CWE Entry 384 on Session Fixation] | ||
+ | {{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab | ||
+ | |headertab=JAVA | ||
+ | |useprev=2013PrevHeaderTabDeveloperEdition | ||
+ | |usenext=2013NextHeaderTabDeveloperEdition | ||
+ | |next=A3-{{Top_10_2010:ByTheNumbers | ||
+ | |3 | ||
+ | |year=2013 | ||
+ | |language=de}} | ||
+ | |prev=A1-{{Top_10_2010:ByTheNumbers | ||
+ | |1 | ||
+ | |year=2013 | ||
+ | |language=de}} | ||
+ | |year=2013 | ||
+ | |language=de | ||
+ | }} | ||
+ | |||
+ | = '''PHP''' = | ||
+ | {{taggedSection | ||
+ | | type=tbd | ||
+ | | comment=Bitte senden Sie uns weitere gute Beispiele mit PHP für diesen Abschnitt. | ||
+ | }} | ||
+ | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
+ | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=2|year=2013|language=de}} | ||
+ | <b>Erfinde das Sessionmanagement nicht neu!</b> PHP liefert das alles schon mit.<br> | ||
+ | Grundsätzliche Anforderungen an das Session Management: | ||
+ | * SessionID mit TLS schützen (wie alle Authentifizierungsdaten) (->php.ini) | ||
+ | * die SessionID hat in der URL nichts verloren (->php.ini) | ||
+ | * nach jeder erfolgreichen Authentifizierung eine neue SessionID generieren | ||
+ | * für die Erzeugung der SessionID einen kryptografisch sicheren Zufallszahlengenerator verwenden (Entropy mindestens 128bit) | ||
+ | * der Timeout von Cookies sollte so schnell wie möglich erfolgen (beim Onlinebanking ist ein Wert von ca 10 Min. mittlerweile Standard) (->php.ini) | ||
+ | * beim Logout/TimeOut wird die SessionID auf dem Server ungültig gemacht | ||
+ | * grundsätzlich das Secure-Attribut für Cookies benutzen (->php.ini) | ||
+ | * für Cookies das httponly-Attribut setzen (->php.ini) | ||
+ | * Domain-und Pfad-Attribut in Cookies so eng wie möglich setzen (->php.ini) | ||
{{Top_10_2010:ExampleBeginTemplate|year=2013}} | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
− | + | ;Konfigurationsdatei 'php.ini': | |
− | |||
− | + | session.cookie_secure = On | |
− | + | session.cookie_httponly = On | |
− | |||
− | |||
− | + | session.use_trand_sid = Off | |
− | + | session.use_only_cookies = On | |
− | |||
− | |||
− | + | session.hash_function = sha512 | |
− | {{Top_10_2010: | + | {{Top_10_2010:ExampleEndTemplate}} |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk= | + | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=2|year=2013|language=de}} |
− | {{Top_10_2010:ExampleBeginTemplate}} | + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} |
tbd | tbd | ||
Text | Text | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
− | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk= | + | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=2|year=2013|language=de}} |
tbd | tbd | ||
Text | Text | ||
− | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk= | + | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=2|year=2013|language=de}} |
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
− | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk= | + | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=2|year=2013|language=de}} |
− | {{Top_10:SubsectionTableEndTemplate}} | + | {{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab |
+ | |headertab=PHP | ||
+ | |useprev=2013PrevHeaderTabDeveloperEdition | ||
+ | |usenext=2013NextHeaderTabDeveloperEdition | ||
+ | |next=A3-{{Top_10_2010:ByTheNumbers | ||
+ | |3 | ||
+ | |year=2013 | ||
+ | |language=de}} | ||
+ | |prev=A1-{{Top_10_2010:ByTheNumbers | ||
+ | |1 | ||
+ | |year=2013 | ||
+ | |language=de}} | ||
+ | |year=2013 | ||
+ | |language=de | ||
+ | }} | ||
<headertabs /> | <headertabs /> | ||
− | + | {{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate | |
− | {{ | ||
|type=0 | |type=0 | ||
− | + | |usenext=2013NextLinkDeveloperEdition | |
− | |usenext= | + | |next=A3-{{Top_10_2010:ByTheNumbers |
− | | | + | |3 |
− | | | + | |year=2013 |
− | | | + | |language=de}} |
− | | | + | |useprev=2013PrevLinkDeveloperEdition |
− | | | + | |prev=A1-{{Top_10_2010:ByTheNumbers |
− | | | + | |1 |
− | |language=de | + | |year=2013 |
− | + | |language=de}} | |
+ | |year=2013 | ||
+ | |language=de | ||
}} | }} | ||
− | |||
− | |||
− |
Latest revision as of 11:28, 24 March 2016
Anwendungs- spezifisch |
Ausnutzbarkeit DURCHSCHNITTLICH |
Verbreitung SEHR HÄUFIG |
Auffindbarkeit DURCHSCHNITTLICH |
Auswirkung SCHWERWIEGEND |
Anwendungs-/ Geschäftsspezifisch |
Nicht authentifizierte Angreifer sowie authentifizierte Nutzer könnten versuchen, Zugangsdaten anderer zu stehlen. In Betracht kommen außerdem Innentäter, die ihre Handlungen verschleiern wollen. | Angreifer nutzen Lücken bei der Authentifizierung oder im Sessionmanagement (z.B. ungeschützte Nutzerkonten, Passwörter, Session-IDs), um sich eine fremde Identität zu verschaffen. | Obwohl es sehr schwierig ist, ein sicheres Authentifizierungs- und Session-Management zu implementieren, setzen Entwickler häufig auf eigene Lösungen. Diese haben dann oft Fehler bei Abmeldung und Passwortmanagement, bei der Wiedererkennung des Benutzers, bei Timeouts, Sicherheitsabfragen usw. Das Auffinden dieser Fehler kann sehr schwierig sein, besonders wenn es sich um individuelle Implementierungen handelt. | Diese Fehler führen zur Kompromittierung von Benutzerkonten. Ein erfolgreicher Angreifer hat alle Rechte des Opfers. Privilegierte Zugänge sind oft Ziel solcher Angriffe. | Betrachten Sie den Geschäftswert der betroffenen Daten oder Anwendungsfunktionen. Betrachten Sie weiterhin Auswirkungen auf das Unternehmen beim Bekanntwerden der Schwachstelle. |
Mögliche Angriffsszenarien
Szenario 1: Eine Flugbuchungsanwendung fügt die Session-ID in die URL ein: http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
Ein authentifizierter Anwender möchte dieses Angebot seinen Freunden mitteilen. Er versendet obigen Link per E-Mail, ohne zu wissen, dass er seine Session-ID preisgibt. Nutzen seine Freunde den Link, können sie seine Session sowie seine Kreditkartendaten benutzen. Szenario 2: Anwendungs-Timeouts sind falsch konfiguriert. Ein Anwender benutzt einen öffentlichen PC, um die Anwendung aufzurufen. Anstatt die "Abmelden"-Funktion zu benutzen, schließt der Anwender nur den Browser. Der Browser ist auch eine Stunde später noch authentifiziert, wenn ein potentieller Angreifer ihn öffnet. Szenario 3: Ein Angreifer erlangt Zugang zur nicht richtig gehashten Passwortdatenbank des Systems. Damit fallen alle Zugangsdaten quasi im Klartext in die Hände des Angreifers. |
Wie kann ich 'Fehler in Authentifizierung und Session-Management' verhindern?
Wir empfehlen Organisationen und Unternehmen, ihren Entwicklern folgende Mittel bereitzustellen:
|
Verteidigungs-Option 1 gegen 'Fehler in Authentifizierung und Session-Management':
Erfinde das Sessionmanagement nicht neu! Die verbreiteten Plattformen (wie Tomcat, Websphere, u.a.) liefern das alles schon mit.
|
Verteidigungs-Option 2 gegen 'Fehler in Authentifizierung und Session-Management':
Beispiel:
<session-config>
<session-config>
</security-constraint> <context-param>
</context-param>
|
Referenzen
OWASP Einen umfangreicheren Überblick über Anforderungen und zu vermeidende Probleme gibt ASVS requirements areas for Authentication (V2) and Session Management (V3).
Andere |
Comment: Bitte senden Sie uns weitere gute Beispiele mit PHP für diesen Abschnitt.
Verteidigungs-Option 1 gegen 'Fehler in Authentifizierung und Session-Management':
Erfinde das Sessionmanagement nicht neu! PHP liefert das alles schon mit.
session.cookie_secure = On session.cookie_httponly = On session.use_trand_sid = Off session.use_only_cookies = On session.hash_function = sha512
|
Verteidigungs-Option 2 gegen 'Fehler in Authentifizierung und Session-Management':
tbd Text |
Verteidigungs-Option 3 gegen 'Fehler in Authentifizierung und Session-Management':
tbd Text | |
Auswirkung(en) auf den Benutzer
(ganze Breite) Text |
Referenzen
|