This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A7-Fehlerhafte Autorisierung auf Anwendungsebene"
From OWASP
(Link to A9) |
(Verteidigungs-Option 1 gegen 'Mangelhafter URL-Zugriffsschutz': Zugriffssteuerung über den Web-Container (Declarative Access Control)) |
||
| Line 14: | Line 14: | ||
| − | == A8 Mangelhafter URL-Zugriffsschutz | + | ==A8 Mangelhafter URL-Zugriffsschutz== |
| − | {{ | + | {{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2010|language=de}} |
| − | {{ | + | {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=3|detectability=2|impact=2|language=de|year=2010}} |
| − | |||
| − | |||
| − | |||
{{Top_10_2010:SummaryTableHeaderEndTemplate}} | {{Top_10_2010:SummaryTableHeaderEndTemplate}} | ||
<td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.<br/> | <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.<br/> | ||
| Line 35: | Line 32: | ||
{{Top_10_2010:SummaryTableEndTemplate}} | {{Top_10_2010:SummaryTableEndTemplate}} | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=main}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=8|year=2010|language=de}} |
Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich. | Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich. | ||
| − | {{Top_10_2010:ExampleBeginTemplate}} | + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} |
| − | <nowiki>http://example.com/app/ | + | <nowiki>http://example.com/app/</nowiki><span style="color:red;">'''getappInfo'''</span><br/> |
| − | Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf | + | <nowiki>http://example.com/app/</nowiki><span style="color:red;">'''admin_getappInfo'''</span> |
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf “<span style="color:red;">'''admin_getappInfo'''</span>” zugreifen kann, so ist dies ein Fehler, der ggf. den Angreifer auf weitere ungenügend geschützte administrative Seiten führen könnte.<br/> | ||
Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt. | Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt. | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=8|year=2010|language=de}} |
Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen: | Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen: | ||
# Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten. | # Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten. | ||
| Line 52: | Line 51: | ||
= '''JAVA''' = | = '''JAVA''' = | ||
<!-- z.Z ohne Template ---> | <!-- z.Z ohne Template ---> | ||
| + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=8|year=2010|language=de}} | ||
| + | ===Zugriffssteuerung über den Web-Container (Declarative Access Control)=== | ||
| + | Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei web.xml (Deployment Descriptor). Es ist kein Programmieraufwand notwendig. | ||
| + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} | ||
| + | ;Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug): | ||
| − | {{ | + | <security-constraint><br/> |
| + | : <web-resource-collection> | ||
| + | :: <web-resource-name>Restricted Resources</web-resource-name> | ||
| + | :: <description>Only for Authenticated Users</description> | ||
| + | :: <!-- Fail-Safe Default: Protect all URLs --> | ||
| + | :: <url-pattern>/*</url-pattern> | ||
| + | :: <http-method>GET</http-method> | ||
| + | :: <http-method>POST</http-method> | ||
| + | :</web-resource-collection> | ||
| + | : <auth-constraint> | ||
| + | :: <role-name>AuthorizedUser</role-name> | ||
| + | : </auth-constraint> | ||
| + | </security-constraint><br/> | ||
| + | <br/> | ||
| + | <security-constraint><br/> | ||
| + | : <web-resource-collection> | ||
| + | :: <web-resource-name>MyLogin</web-resource-name> | ||
| + | :: <description>Access to Login</description> | ||
| + | :: <url-pattern>/login.jsp</url-pattern> | ||
| + | :: <http-method>GET</http-method> | ||
| + | :: <http-method>POST</http-method> | ||
| + | :</web-resource-collection> | ||
| + | : <!-- No auth-constraint: Public Access! --> | ||
| + | </security-constraint><br/> | ||
| + | <br/> | ||
| + | <security-constraint><br/> | ||
| + | : <web-resource-collection> | ||
| + | :: <web-resource-name>Public Resources</web-resource-name> | ||
| + | :: <description>Matches only some public pages</description> | ||
| + | :: <url-pattern>/index.jsp</url-pattern> | ||
| + | :: <url-pattern>/public/*</url-pattern> | ||
| + | :: <http-method>GET</http-method> | ||
| + | :</web-resource-collection> | ||
| + | : <!-- No auth-constraint: Public Access! --> | ||
| + | </security-constraint><br/> | ||
| + | {{Top_10_2010:ExampleEndTemplate}} | ||
| + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=8|year=2010|language=de}} | ||
tbd. | tbd. | ||
| − | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=8|year=2010|language=de}} | |
| − | |||
| − | |||
| − | |||
tbd. | tbd. | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=8|year=2010|language=de}} |
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
| − | * [ | + | * [https://www.owasp.org/index.php/Top_10_2007-Failure_to_Restrict_URL_Access <u>OWASP Top 10-2007 on Failure to Restrict URL Access</u>] |
| − | + | * [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html <u>ESAPI Access Control API</u>] | |
| − | + | * [https://www.owasp.org/index.php/Guide_to_Authorization <u>OWASP Development Guide: Chapter on Authorization</u>] | |
| − | * [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/ | + | * [https://www.owasp.org/index.php/Testing_for_Path_Traversal <u>OWASP Testing Guide: Testing for Path Traversal</u>] |
| − | * [ | + | * [https://www.owasp.org/index.php/Forced_browsing <u>OWASP Article on Forced Browsing</u>] |
| − | + | ||
| − | * [ | + | Weitere Anforderungen an den Zugriffsschutz sind in der [https://www.owasp.org/index.php/ASVS <u>ASVS requirements area for Access Control (V4)</u>] enthalten. |
| − | + | ||
| − | + | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}} | |
| − | + | * [http://cwe.mitre.org/data/definitions/285.html <u>CWE Entry 285 on Improper Access Control (Authorization)</u>] | |
| − | * [ | ||
| − | |||
| − | * [http:// | ||
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''Test''' = | = '''Test''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=8|year=2010|language=de}} |
| − | {{Top_10_2010:ExampleBeginTemplate}} | + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} |
tbd | tbd | ||
Text | Text | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=8|year=2010|language=de}} |
| − | {{Top_10_2010:ExampleBeginTemplate}} | + | {{Top_10_2010:ExampleBeginTemplate|year=2013}} |
tbd | tbd | ||
Text | Text | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=8|year=2010|language=de}} |
tbd | tbd | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=8|year=2010|language=de}} |
(ganze Breite) | (ganze Breite) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=8|year=2010|language=de}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
<headertabs /> | <headertabs /> | ||
Revision as of 13:12, 15 May 2013
| ← Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung | Top_10_2013_fuer_Entwickler/A9_Nutzung von Komponenten mit bekannten Schwachstellen → |
Seite in Bearbeitung (BAUSTELLE!!)
A8 Mangelhafter URL-Zugriffsschutz
 |
 |
 |
 |
 | |
|---|---|---|---|---|---|
|
Anwendungs- spezifisch |
Ausnutzbarkeit EINFACH |
Verbreitung SELTEN |
Auffindbarkeit DURCHSCHNITTLICH |
Auswirkung MITTEL |
Application / Business Specific |
| Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden. Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten? |
Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff? Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen. |
In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren. Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren. |
Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind. Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp. |
Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten. Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle. |
|
|
Mögliche Angriffsszenarien
Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich. http://example.com/app/getappInfo Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf “admin_getappInfo” zugreifen kann, so ist dies ein Fehler, der ggf. den Angreifer auf weitere ungenügend geschützte administrative Seiten führen könnte. |
Wie kann ich 'Mangelhafter URL-Zugriffsschutz' verhindern?
Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:
|
|
Verteidigungs-Option 1 gegen 'Mangelhafter URL-Zugriffsschutz':
Zugriffssteuerung über den Web-Container (Declarative Access Control)Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei web.xml (Deployment Descriptor). Es ist kein Programmieraufwand notwendig.
<security-constraint>
</security-constraint>
</security-constraint>
</security-constraint> |
Verteidigungs-Option 2 gegen 'Mangelhafter URL-Zugriffsschutz':
tbd. |
|
Verteidigungs-Option 3 gegen 'Mangelhafter URL-Zugriffsschutz':
tbd. |
Referenzen
OWASP
Weitere Anforderungen an den Zugriffsschutz sind in der ASVS requirements area for Access Control (V4) enthalten. Andere |
|
Verteidigungs-Option 1 gegen 'Mangelhafter URL-Zugriffsschutz':
tbd Text |
Verteidigungs-Option 2 gegen 'Mangelhafter URL-Zugriffsschutz':
tbd Text |
|
Verteidigungs-Option 3 gegen 'Mangelhafter URL-Zugriffsschutz':
tbd Text | |
|
Auswirkung(en) auf den Benutzer
(ganze Breite) Text |
Referenzen
|
| ← Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung | Top_10_2013_fuer_Entwickler/A9_Nutzung von Komponenten mit bekannten Schwachstellen → |
