This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A7-Fehlerhafte Autorisierung auf Anwendungsebene"
From OWASP
m ({{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate|year=2010|language=de}}: year and language added) |
m (Added {{Top_10:SubsectionTableBeginTemplate}} + {{Top_10:SubsectionTableEndTemplate}}) |
||
| Line 33: | Line 33: | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.<br/> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.<br/> | ||
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.</td> | Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.</td> | ||
| − | |||
{{Top_10_2010:SummaryTableEndTemplate}} | {{Top_10_2010:SummaryTableEndTemplate}} | ||
| − | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=8|year=2010|language=de}} | + | {{Top_10:SubsectionTableBeginTemplate}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=8|year=2010|language=de}} |
Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich. | Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich. | ||
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;"><nowiki>http://example.com/app/getappInfo</nowiki><br/> | {{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;"><nowiki>http://example.com/app/getappInfo</nowiki><br/> | ||
| Line 49: | Line 48: | ||
# Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können. | # Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können. | ||
# Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren. | # Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren. | ||
| − | + | {{Top_10:SubsectionTableEndTemplate}} | |
| − | |||
= '''JAVA''' = | = '''JAVA''' = | ||
<!-- z.Z ohne Template ---> | <!-- z.Z ohne Template ---> | ||
| − | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=8|year=2010|language=de}} <!-- war number=3 --> | + | {{Top_10:SubsectionTableBeginTemplate}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=8|year=2010|language=de}} <!-- war number=3 --> |
tbd. | tbd. | ||
| Line 76: | Line 74: | ||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)] | * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)] | ||
* [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)] | * [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)] | ||
| − | + | {{Top_10:SubsectionTableEndTemplate}} | |
= '''Test''' = | = '''Test''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=8|year=2010|language=de}} | + | {{Top_10:SubsectionTableBeginTemplate}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=8|year=2010|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 101: | Line 99: | ||
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=8|year=2010|language=de}} | {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=8|year=2010|language=de}} | ||
| − | + | {{Top_10:SubsectionTableEndTemplate}} | |
<headertabs /> | <headertabs /> | ||
Revision as of 12:41, 1 April 2013
| ← Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung | Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht → |
Seite in Bearbeitung (BAUSTELLE!!)
A8 Mangelhafter URL-Zugriffsschutz)
 |
 |
 |
 |
 |
|
|---|---|---|---|---|---|
| ______ | Ausnutzbarkeit EINFACH |
Verbreitung SELTEN |
Auffindbarkeit DURCHSCHNITTLICH |
Auswirkung MITTEL |
Application / Business Specific |
| Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden. Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten? |
Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff? Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen. |
In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren. Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren. |
Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind. Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp. |
Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten. Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle. |
|
|
Bin ich durch 'Mangelhafter URL-Zugriffsschutz' verwundbar?
Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich. http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf “admin_getappInfo” zugreifen kann, so ist dies ein Fehler, der ggf. den Angreifer auf weitere ungenügend geschützte administrative Seiten führen könnte. |
Wie kann ich 'Mangelhafter URL-Zugriffsschutz' verhindern?
Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:
|
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd.
</td>
<td
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Referenzen
tbd.
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd.
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
OWASP
- OWASP SQL Injection Prevention Cheat Sheet
- OWASP Injection Flaws Article
- ESAPI Encoder API
- ESAPI Input Validation API
- ASVS: Output Encoding/Escaping Requirements (V6)
- OWASP Testing Guide: Chapter on SQL Injection Testing
- OWASP Code Review Guide: Chapter on SQL Injection
- OWASP Code Review Guide: Command Injection
Andere
- CWE Entry 77 on Command Injection
- CWE Entry 89 on SQL Injection
- BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'
(Potenziell gefährliche Zeichen für Interpreter) - OWASP Appsec: Episode 2 - Injection Attacks (Video)
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td>
<td
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Referenzen
tbd Text
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
(ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%;
border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
| ← Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung | Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht → |
