Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection

Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauenswürdige Daten an einen Interpreter weiterleitet. Sie sind weit verbreitet, besonders in veraltetem Code. Sie finden sich in SQL-, LDAP-, XPath und NoSQL-Anfragen, in Betriebssystembefehlen sowie in XML, SMTP-Headern, Parametern, etc. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach, durch externe Tests aber in der Regel nur schwer entdecken. Angreifer setzen dazu Scanner und Fuzzer ein. Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen.  Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann ein Image-Schaden entstehen?

Szenario 1: Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";

Szenario 2: Blindes Vertrauen in den Einsatz eines Frameworks (hier z.B. Hibernate Query Language (HQL)): Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+request.getParameter("id")+"'"); Der Angreifer verändert in beiden Fällen den 'id'-Parameter im Browser und sendet: ' or '1'='1. Zum Beispiel: Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. http://example.com/app/accountView?id=  ' or '1'='1  Das ändert die Logik der Anfrage so, dass in diesem Fall alle Datensätze der Tabelle 'accounts' zurückgegeben werden. Schlimmstenfalls werden durch Injections Daten verändert oder sogar Stored Procedures gestartet. Das Verhindern von Injection erfordert die konsequente Trennung von Eingabedaten und Befehlen. Anmerkung: Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server umzusetzen bzw. durchzusetzen, optional können sie teilweise zusätzlich auf dem Client (z.B. Eingabeprüfung per Java Skript) realisiert werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.
 * 1) Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
 * 2) Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen.  OWASP's ESAPI stellt hierfür viele spezielle Routinen bereit.
 * 3) Auch die Eingabeprüfung gegen Positivlisten (&quot;white list&quot;) wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. Ist der Einsatz von Sonderzeichen notwendig, können diese nur unter Beachtung von Punkt 1 und 2 (s.o.) sicher verwendet werden.

= JAVA =

Prepared Statements (Parameterized Queries) [nur für SQL, empfohlene Lösung]

 * Java - Standard

String custname = request.getParameter("customerName"); // This should REALLY be validated too // perform input validation to detect attacks String query = "SELECT account_balance FROM user_data WHERE user_name = ? "; PreparedStatement pstmt = connection.prepareStatement( query ); pstmt.setString( 1, custname); ResultSet results = pstmt.executeQuery; Beispiel mit Hibernate Query Language (HQL): Empfehlung des Projekts 'Top 10 für Entwickler' für komplexe Abfragen, vgl auch OWASP Query_Parameterization Cheat Sheet:
 * Java - Hibernate

@Entity // declare as entity; @NamedQuery(
 *  name="findByDescription",
 *  query="FROM Inventory i WHERE i.productDescription = :productDescription"

) public class Inventory implements Serializable {
 * @Id
 * private long id;
 * private String productDescription;

}

// use case String userSuppliedParameter = request.getParameter("Product-Description"); // This should REALLY be validated too // perform input validation to detect attacks

List list =
 * session.getNamedQuery("findByDescription")
 * .setParameter("productDescription", userSuppliedParameter).list;

weitere Beispiele SANS: fix-sql-injection-in-java-hibernate Beispiel mit Hibernate Criteria Queries (Empfehlung des Projekts 'Top 10 für Entwickler'):

String userSuppliedParameter = request.getParameter("Product-Description"); // This should REALLY be validated too // perform input validation to detect attacks  Inventory inv = 
 *  (Inventory) session.createCriteria(Inventory.class).add(Restrictions.eq("productDescription", userSuppliedParameter)).uniqueResult;

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input) [bisher nur für SQL]
Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.

Codec ORACLE_CODEC = new OracleCodec; //added String query = "SELECT user_id FROM user_data WHERE user_name = '" +
 * ESAPI.encoder.encodeForSQL( ORACLE_CODEC, //added
 * req.getParameter("userID") ) + "' and user_password = '" +
 * ESAPI.encoder.encodeForSQL( ORACLE_CODEC, //added
 * req.getParameter("pwd") ) +"'";

Anmerkung: Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server erforderlich, optional können sie teilweise zusätzlich auf dem Client (z.B. per Java Skript) umgesetzt werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.

Benutzereingaben sorgfältig mittels Positivlisten prüfen ( White List Input Validation )
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Benutzereingaben sind zunächst zu normalisieren (= kanonisieren). APIs, wie OWASP's ESAPI erledigen dies automatisch. Beschränken Sie bei den Regeln für die Postivlisten  die erlaubten Zeichen, ggf. die erlaubte Zeichenfolge und den gültigen Wertebereich bzw. die Länge der erwarteten Eingabe. Seien Sie besonders vorsichtig, wenn Sie Zeichen erlauben möchten, die das Backend als Metazeichen benutzt, z.B. &apos; und &quot; (vgl Potenziell gefährliche Zeichen für Interpreter). Wandeln Sie diese jeweils in ungefährliche Zeichen um, z.B. mittels Kodierung vor der weiteren Verarbeitung (Encoding, z.B. in &amp;#x27; und &amp;quot;). Anmerkung: Die beschriebenen Maßnahmen sind auf dem (Anwendungs-)Server erforderlich, optional können sie teilweise zusätzlich auf dem Client (z.B. per Java Skript) umgesetzt werden, um den Benutzer frühzeitig über Falscheingaben zu informieren.

//performing input validation ESAPI.validator.getValidInput ... String query = "SELECT user_id FROM user_data WHERE user_name = '" + ... ...


 * OWASP SQL Injection Prevention Cheat Sheet
 * OWASP Proactive Controls: Kapitel über 'Parameterize Queries', 'Encode Data' und 'Validate all Inputs'
 * OWASP Injection Flaws Article
 * ESAPI Encoder API
 * ESAPI Input Validation API
 * ASVS: Output Encoding/Escaping Requirements (V6)
 * OWASP Testing Guide: Chapter on SQL Injection Testing
 * OWASP Code Review Guide: Chapter on SQL Injection
 * OWASP Code Review Guide: Command Injection
 * OWASP Appsec: Episode 2 - Injection Attacks (Video)


 * CWE Entry 77 on Command Injection
 * CWE Entry 89 on SQL Injection
 * Hibernate - ORM
 * BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel' (Potenziell gefährliche Zeichen für Interpreter)

= PHP =

Prepared Statements (Parameterized Queries)
PHP - PDO

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");

$stmt->bindParam(':name', $name);

$stmt->bindParam(':value', $value); vgl OWASP Query_Parameterization Cheat Sheet

PHP - mysqli

$stmt = $mysqli->prepare( 	'SELECT * 	 FROM foo 	 WHERE bar = ?' );

$stmt->bind_param(	's', 	$value );

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI für Java. Hier besteht die Gefahr, dass das escapen an einer Stelle vergessen wird, was die Sicherung komplett aushebeln würde. Manueller String Filter:

$stmt = $mysqli->query( 'SELECT * FROM foo WHERE bar = ' . $mysqli->real_escape_string($input) );

tbd Text

(optional) Text

= .NET =

Prepared Statements (Parameterized Queries) [nur für SQL]
var conn = new SqlConnection(connString); using (var command = new SqlCommand("GetProducts", conn)) {
 * command.CommandType = CommandType.StoredProcedure;
 * command.Parameters.Add("@CategoryID", SqlDbType.Int).Value = catID;
 * command.Connection.Open;
 * grdProducts.DataSource = command.ExecuteReader;
 * grdProducts.DataBind;

} vgl OWASP Top 10 for .NET developers part 1: Injection

tbd: Register für .NET, bitte befüllen Text

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI. Manueller Filer für eine Zahl:

var catID = Request.QueryString["CategoryID"]; var positiveIntRegex = new Regex(@"^0*[1-9][0-9]*$"); if(!positiveIntRegex.IsMatch(catID)) {
 * lblResults.Text = "An invalid CategoryID has been specified.";
 * return;

}

vgl OWASP Top 10 for .NET developers part 1: Injection

(optional) Text