This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A7-Fehlerhafte Autorisierung auf Anwendungsebene"

From OWASP
Jump to: navigation, search
m (Referenzen: Link zu 'OWASP Proactive Controls' hinzugefügt)
 
(23 intermediate revisions by 2 users not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung|prev=Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht}}
+
{{Top_10_2013_DeveloperEdition:TopTemplate
== Seite in Bearbeitung (BAUSTELLE!!) ==
+
    |useprev=2013PrevLinkDeveloperEdition
 +
    |usenext=2013NextLinkDeveloperEdition
 +
    |prev=A6-{{Top_10_2010:ByTheNumbers
 +
              |6
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A8-{{Top_10_2010:ByTheNumbers
 +
              |8
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
  
 +
{{Top_10_2010:SubsectionColoredTemplate
 +
      |A7 {{Top_10_2010:ByTheNumbers
 +
              |7
 +
              |year=2013
 +
              |language=de}}
 +
      ||year=2013
 +
}}
  
== A8 Mangelhafter URL-Zugriffsschutz)==
+
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}}
 
+
  {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=3|detectability=2|impact=2|language=de|year=2013}}
{{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate}}
+
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2013|language=de}}
{{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}}
 
{{Top_10_2010:SummaryTableValue-3-Template|Verbreitung|SELTEN}}
 
{{Top_10_2010:SummaryTableValue-2-Template|Auffindbarkeit|DURCHSCHNITTLICH}}
 
{{Top_10_2010:SummaryTableValue-2-Template|Auswirkung|MITTEL}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.<br/>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.<br/>
 
Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten?</td>
 
Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten?</td>
Line 16: Line 30:
  
 
Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen.</td>
 
Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen.</td>
     <td colspan=2 {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren.<br/>
+
     <td colspan=2 {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren.<br/>
Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren.</td>
+
Solche Fehler lassen sich einfach entdecken. Die größte Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind.<br/>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind.<br/>
Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp.</td>
+
Administrative Funktionen sind ein wesentliches Ziel bei diesem Angriffstyp.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.<br/>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.<br/>
 
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.</td>
 
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.</td>
 
 
{{Top_10_2010:SummaryTableEndTemplate}}
 
{{Top_10_2010:SummaryTableEndTemplate}}
 +
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=7|year=2013|language=de}} 
 +
'''Szenario 1''': Der Angreifer ruft die Zieladressen einfach direkt auf. Die folgenden URLs erfordern eine Anmeldung. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<nowiki>http://example.com/app/</nowiki><span style="color:black;">'''getappInfo'''</span><br/>
 +
<nowiki>http://example.com/app/</nowiki><span style="color:red;">'''admin_getappInfo'''</span>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
Erhält ein nicht angemeldeter Benutzer Zugriff, ist dies eine Schwachstelle. Erhält ein angemeldeter, nicht-administrativer Benutzer Zugriff auf “<span style="color:red;">'''admin_getappInfo'''</span>”, ist dies ebenfalls eine Schwachstelle und könnte dazu führen, dass ein Angreifer auf weitere administrative Seiten Zugriff erhält.<br/>
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=8}} 
+
'''Szenario 2''': Eine Anwendung nutzt den Parameter ‘action‘, um spezifische Aufrufe zu ermöglichen. Unterschiedliche “Actions” erfordern dabei unterschiedliche Rollen. Wird dies nicht geprüft, handelt es sich um eine Schwachstelle.
Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich.
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=7|year=2013|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;"><nowiki>http://example.com/app/getappInfo</nowiki><br/>
+
Die Anwendung sollte ein zentrales, möglichst einfach aufgebautes und widerspruchsfreies Modul zur Autorisierung verwenden, das leicht analysierbar ist und von allen Funktionen aufgerufen wird. Häufig werden diese Schutzfunktionen von externen Komponenten bereitgestellt.  
<nowiki>http://example.com/app/admin_getappInfo</nowiki></span>{{Top_10_2010:ExampleEndTemplate}}
+
# Der Prozess zur Rechtevergabe sollte einfach sein. Ebenso dessen Aktualisierung und Prüfung. Verwenden Sie nie hart kodierte Berechtigungsvergaben.
Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf “admin_getappInfo” zugreifen kann, so ist dies ein Fehler, der ggf. den Angreifer auf weitere ungenügend geschützte administrative Seiten führen könnte.<br/>
+
# Berechtigungszuweisung sollte standardmäßig keine Rechte zulassen und explizite Rechte für Zugriffe erfordern.
Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt.
+
# Wenn die Funktion in einem Workflow eingebunden wird, stellen Sie sicher, dass die Rechte während des gesamten Prozesses erhalten bleiben.
 
+
'''Hinweis:''' Viele Anwendungen blenden lediglich die Links zu privilegierten Funktionen aus. Dies ist jedoch <u>kein</u> wirksamer Schutz. Der Zugriff muss ebenfalls in der zentralen Berechtigungsprüfung kontrolliert werden.
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=8}}  
+
{{Top_10:SubsectionTableEndTemplate}}
Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:
 
# Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten.
 
# Die Richtlinien sollen granular konfigurierbar sein, um die Unflexibilität einer “festen Verdrahtung” zu verhindern.
 
# Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können.
 
# Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren.
 
</td> </tr>
 
</table>
 
  
 
= '''JAVA''' =   
 
= '''JAVA''' =   
 
<!-- z.Z ohne Template --->
 
<!-- z.Z ohne Template --->
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=8}} <!-- war number=3 -->
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=7|year=2013|language=de}}  
 +
===Zugriffssteuerung über den Web-Container (Declarative Access Control)===
 +
Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei web.xml (Deployment Descriptor). Es ist kein Programmieraufwand notwendig.
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
;Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug):
 +
 
 +
&lt;security-constraint&gt;<br/>
 +
: &lt;web-resource-collection&gt;
 +
:: &lt;web-resource-name&gt;Restricted Resources&lt;/web-resource-name&gt;
 +
:: &lt;description&gt;Only for Authenticated Users&lt;/description&gt;
 +
:: &lt;!-- Fail-Safe Default: Protect all URLs --&gt;
 +
:: &lt;url-pattern>/*&lt;/url-pattern&gt;
 +
:: &lt;http-method>GET&lt;/http-method&gt;
 +
:: &lt;http-method>POST&lt;/http-method&gt;
 +
:&lt;/web-resource-collection&gt;
 +
: &lt;auth-constraint&gt;
 +
::  &lt;role-name&gt;AuthorizedUser&lt;/role-name&gt;
 +
: &lt;/auth-constraint&gt;
 +
&lt;/security-constraint&gt;<br/>
 +
<br/>
 +
&lt;security-constraint&gt;<br/>
 +
: &lt;web-resource-collection&gt;
 +
:: &lt;web-resource-name&gt;MyLogin&lt;/web-resource-name&gt;
 +
:: &lt;description&gt;Access to Login&lt;/description&gt;
 +
:: &lt;url-pattern&gt;/login.jsp&lt;/url-pattern&gt;
 +
:: &lt;http-method>GET&lt;/http-method&gt;
 +
:: &lt;http-method>POST&lt;/http-method&gt;
 +
:&lt;/web-resource-collection&gt;
 +
: &lt;!-- No auth-constraint: Public Access! --&gt;
 +
&lt;/security-constraint&gt;<br/>
 +
<br/>
 +
&lt;security-constraint&gt;<br/>
 +
: &lt;web-resource-collection&gt;
 +
:: &lt;web-resource-name&gt;Public Resources&lt;/web-resource-name&gt;
 +
:: &lt;description&gt;Some public pages&lt;/description&gt;
 +
::  &lt;url-pattern&gt;/index.jsp&lt;/url-pattern&gt;
 +
::  &lt;url-pattern&gt;/public/*&lt;/url-pattern&gt;
 +
:: &lt;http-method&gt;GET&lt;/http-method&gt;
 +
:&lt;/web-resource-collection&gt;
 +
: &lt;!-- No auth-constraint: Public Access! --&gt;
 +
&lt;/security-constraint&gt;<br/>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<!------------------
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=7|year=2013|language=de}}
 +
tbd.
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=7|year=2013|language=de}}
 
tbd.
 
tbd.
 +
-------------------->
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=7|year=2013|language=de}}
 +
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 +
* [[OWASP_Proactive_Controls |<u>OWASP Proactive Controls:</u>]] [[OWASP_Proactive_Controls#6:_Implement_Access_Controls|<u>Kapitel über 'Implement Access Controls'</u>]]
 +
* [[Top_10_2007-Failure_to_Restrict_URL_Access|<u>OWASP Top 10-2007 on Failure to Restrict URL Access</u>]]
 +
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html  <u>ESAPI Access Control API</u>]
 +
* [[Guide_to_Authorization|<u>OWASP Development Guide: Chapter on Authorization</u>]]
 +
* [[Testing_for_Path_Traversal|<u>OWASP Testing Guide: Testing for Path Traversal</u>]]
 +
* [[Forced_browsing|<u>OWASP Article on Forced Browsing</u>]]
 +
<!----- deleted Links:
 +
* [[JAAS_Tomcat_Login_Module#5_-_Configure_the_security_constraints_in_web.xml |<u>JAAS_Tomcat_Login_Module: Configure the security constraints in web.xml</u>]]
 +
* [[Declarative_Access_Control_in_Java|<u>Declarative_Access_Control_in_Java</u>]]
 +
----------------------->
 +
* [[Codereview-Deployment#Protecting_JSP_Pages |<u>Codereview-Deployment: Protecting_JSP_Pages</u>]]
 +
* [http://secappdev.org/handouts/2012/Jim%20Manico%20&%20%20Eoin%20Keary/Final%20-%20Access%20Control%20Module%20v4.1.pdf <u>Web App Access Control Design</u>]
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=8}}
+
Weitere Anforderungen an den Zugriffsschutz sind in der [https://www.owasp.org/index.php/ASVS  <u>ASVS requirements area for Access Control (V4)</u>] enthalten, deutsche Übersetzung (Ver 1.0): ([http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.pdf <u>PDF</u>], [http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.doc <u>Word</u>])<br/>
 +
 
 +
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}}
 +
* [http://cwe.mitre.org/data/definitions/285.html  <u>CWE Entry 285 on Improper Access Control (Authorization)</u>]
 +
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=JAVA
 +
    |headertabLeft=JAVA2
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=A6-{{Top_10_2010:ByTheNumbers
 +
              |6
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A8-{{Top_10_2010:ByTheNumbers
 +
              |8
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 +
 
 +
= '''PHP''' = 
 +
{{taggedSection
 +
    | type=tbd
 +
    | comment=Bitte senden Sie uns weitere gute Beispiele mit PHP für diesen Abschnitt.
 +
}}
 +
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=7|year=2013|language=de}}
 +
===Zugriffssteuerung über den Web-Container (Declarative Access Control)===
 +
Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei .... (Deployment Descriptor). Es ist kein Programmieraufwand notwendig.
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
;Konfigurationsdatei '....' des Webservers (Auszug):
 +
 
 +
...<br/>
 +
: ...
 +
:: ...
 +
<br/>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=7|year=2013|language=de}}
 
tbd.
 
tbd.
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=8}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=7|year=2013|language=de}}
 
tbd.
 
tbd.
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=8}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=7|year=2013|language=de}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
+
* [https://www.owasp.org/index.php/Top_10_2007-Failure_to_Restrict_URL_Access  <u>OWASP Top 10-2007 on Failure to Restrict URL Access</u>]
* [[Command_Injection | OWASP Injection Flaws Article]]
+
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html <u>ESAPI Access Control API</u>]
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html ESAPI Encoder API]
+
* [https://www.owasp.org/index.php/Guide_to_Authorization  <u>OWASP Development Guide: Chapter on Authorization</u>]
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html ESAPI Input Validation API]
+
* [https://www.owasp.org/index.php/Testing_for_Path_Traversal  <u>OWASP Testing Guide: Testing for Path Traversal</u>]
* [http://www.owasp.org/index.php/ASVS#tab=Downloads ASVS: Output Encoding/Escaping Requirements (V6)]
+
* [https://www.owasp.org/index.php/Forced_browsing  <u>OWASP Article on Forced Browsing</u>]
* [[Testing_for_SQL_Injection_(OWASP-DV-005) | OWASP Testing Guide: Chapter on SQL Injection Testing]]
+
 
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
+
Weitere Anforderungen an den Zugriffsschutz sind in der [https://www.owasp.org/index.php/ASVS  <u>ASVS requirements area for Access Control (V4)</u>] enthalten, deutsche Übersetzung (Ver 1.0): ([http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.pdf <u>PDF</u>], [http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.doc <u>Word</u>])<br/>  
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
 
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate}}
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
 
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
 
* [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)]
 
</td></tr></table>
 
  
 +
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}}
 +
* [http://cwe.mitre.org/data/definitions/285.html  <u>CWE Entry 285 on Improper Access Control (Authorization)</u>]
 +
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=PHP
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=A6-{{Top_10_2010:ByTheNumbers
 +
              |6
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A8-{{Top_10_2010:ByTheNumbers
 +
              |8
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 +
 +
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --- >
 
= '''Test''' =
 
= '''Test''' =
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=7|year=2013|language=de}}
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=1}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
{{Top_10_2010:ExampleBeginTemplate}}
 
 
tbd
 
tbd
 
Text
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=7|year=2013|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
tbd
 
tbd
 
Text
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=1}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=7|year=2013|language=de}}
 
tbd
 
tbd
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=1}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=7|year=2013|language=de}}
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=1}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=7|year=2013|language=de}}
</td></tr></table>
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=Test
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=A6-{{Top_10_2010:ByTheNumbers
 +
              |6
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A8-{{Top_10_2010:ByTheNumbers
 +
              |8
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 +
--------------------------------------------->
 
<headertabs />
 
<headertabs />
 
+
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate|type=0|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)|useprev=PrevLink_Germany_Projekte|prev=Top_10_fuer_Entwickler}}
+
    |type=0
 
+
    |useprev=2013PrevLinkDeveloperEdition
 
+
    |usenext=2013NextLinkDeveloperEdition
[[Category:OWASP Top 10 fuer Entwickler]]
+
    |prev=A6-{{Top_10_2010:ByTheNumbers
 +
              |6
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A8-{{Top_10_2010:ByTheNumbers
 +
              |8
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}

Latest revision as of 11:36, 24 March 2016

← A6-Verlust der Vertraulichkeit sensibler Daten
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A8-Cross-Site Request Forgery (CSRF) →
A7 Fehlerhafte Autorisierung auf Anwendungsebene


Bedrohungsquellen
Angriffsvektoren
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
Anwendungs-
spezifisch		 Ausnutzbarkeit
EINFACH		 Verbreitung
SELTEN		 Auffindbarkeit
DURCHSCHNITTLICH		 Auswirkung
MITTEL		 Anwendungs-/
Geschäftsspezifisch
Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.
Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten?		 Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff?
Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen.		 In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren.
Solche Fehler lassen sich einfach entdecken. Die größte Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren.		 Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind.
Administrative Funktionen sind ein wesentliches Ziel bei diesem Angriffstyp.		 Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.
Mögliche Angriffsszenarien

Szenario 1: Der Angreifer ruft die Zieladressen einfach direkt auf. Die folgenden URLs erfordern eine Anmeldung. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich:

http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo

Erhält ein nicht angemeldeter Benutzer Zugriff, ist dies eine Schwachstelle. Erhält ein angemeldeter, nicht-administrativer Benutzer Zugriff auf “admin_getappInfo”, ist dies ebenfalls eine Schwachstelle und könnte dazu führen, dass ein Angreifer auf weitere administrative Seiten Zugriff erhält.

Szenario 2: Eine Anwendung nutzt den Parameter ‘action‘, um spezifische Aufrufe zu ermöglichen. Unterschiedliche “Actions” erfordern dabei unterschiedliche Rollen. Wird dies nicht geprüft, handelt es sich um eine Schwachstelle.

Wie kann ich 'Fehlerhafte Autorisierung auf Anwendungsebene' verhindern?

Die Anwendung sollte ein zentrales, möglichst einfach aufgebautes und widerspruchsfreies Modul zur Autorisierung verwenden, das leicht analysierbar ist und von allen Funktionen aufgerufen wird. Häufig werden diese Schutzfunktionen von externen Komponenten bereitgestellt.

  1. Der Prozess zur Rechtevergabe sollte einfach sein. Ebenso dessen Aktualisierung und Prüfung. Verwenden Sie nie hart kodierte Berechtigungsvergaben.
  2. Berechtigungszuweisung sollte standardmäßig keine Rechte zulassen und explizite Rechte für Zugriffe erfordern.
  3. Wenn die Funktion in einem Workflow eingebunden wird, stellen Sie sicher, dass die Rechte während des gesamten Prozesses erhalten bleiben.

Hinweis: Viele Anwendungen blenden lediglich die Links zu privilegierten Funktionen aus. Dies ist jedoch kein wirksamer Schutz. Der Zugriff muss ebenfalls in der zentralen Berechtigungsprüfung kontrolliert werden.

Verteidigungs-Option 1 gegen 'Fehlerhafte Autorisierung auf Anwendungsebene':

Zugriffssteuerung über den Web-Container (Declarative Access Control)

Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei web.xml (Deployment Descriptor). Es ist kein Programmieraufwand notwendig.

Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug)

<security-constraint>

<web-resource-collection>
<web-resource-name>Restricted Resources</web-resource-name>
<description>Only for Authenticated Users</description>
<!-- Fail-Safe Default: Protect all URLs -->
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>AuthorizedUser</role-name>
</auth-constraint>

</security-constraint>

<security-constraint>

<web-resource-collection>
<web-resource-name>MyLogin</web-resource-name>
<description>Access to Login</description>
<url-pattern>/login.jsp</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<!-- No auth-constraint: Public Access! -->

</security-constraint>

<security-constraint>

<web-resource-collection>
<web-resource-name>Public Resources</web-resource-name>
<description>Some public pages</description>
<url-pattern>/index.jsp</url-pattern>
<url-pattern>/public/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
<!-- No auth-constraint: Public Access! -->

</security-constraint>
Referenzen

OWASP

Weitere Anforderungen an den Zugriffsschutz sind in der ASVS requirements area for Access Control (V4) enthalten, deutsche Übersetzung (Ver 1.0): (PDF, Word)

Andere

This section is under construction. Please help OWASP to add missing content!
Comment: Bitte senden Sie uns weitere gute Beispiele mit PHP für diesen Abschnitt.
Verteidigungs-Option 1 gegen 'Fehlerhafte Autorisierung auf Anwendungsebene':

Zugriffssteuerung über den Web-Container (Declarative Access Control)

Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei .... (Deployment Descriptor). Es ist kein Programmieraufwand notwendig.

Konfigurationsdatei '....' des Webservers (Auszug)

...

...
...
Verteidigungs-Option 2 gegen 'Fehlerhafte Autorisierung auf Anwendungsebene':

tbd.

Verteidigungs-Option 3 gegen 'Fehlerhafte Autorisierung auf Anwendungsebene':

tbd.

Referenzen

OWASP

Weitere Anforderungen an den Zugriffsschutz sind in der ASVS requirements area for Access Control (V4) enthalten, deutsche Übersetzung (Ver 1.0): (PDF, Word)

Andere

← A6-Verlust der Vertraulichkeit sensibler Daten
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A8-Cross-Site Request Forgery (CSRF) →
© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png
Retrieved from "https://wiki.owasp.org/index.php?title=Germany/Projekte/Top_10_fuer_Entwickler-2013/A7-Fehlerhafte_Autorisierung_auf_Anwendungsebene&oldid=211729"