Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection

= Testseite in Bearbeitung (BAUSTELLE!!) =

die Überschriften kommen von den Templates der englischen Top 10, Tbd!!
= A1 Befehle unterschieben (Injection)=

Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. Der Angreifer sen-det einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injec-tion-Vektor darstel-len, einschließlich interner Quellen. Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen. Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen?

Mögliche Angriffsszenarien
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'"; Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden. http://example.com/app/accountView?id= ' or '1'='1 Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.

Wie kann ich Injektion verhindern?
Preventing injection requires keeping untrusted data separate from commands and queries.


 * 1) The preferred option is to use a safe API which avoids the use of the interpreter entirely or provides a parameterized interface. Beware of APIs, such as

stored procedures, that appear parameterized, but may still allow injection under the hood.
 * 1) If a parameterized API is not available, you should carefully escape special characters using the specific escape syntax for that interpreter. [[ESAPI |

OWASP's ESAPI]] has some of these escaping routines.
 * 1) Positive or "whitelist" input validation with appropriate canonicalization also helps protect against injection, but is not a complete defense as many

applications require special characters in their input. OWASP's ESAPI has an extensible library of

white list input validation routines.

The application uses untrusted data in the construction of the following vulnerable SQL call: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id")

+"'"; The attacker modifies the 'id' parameter in their browser to send: ' or '1'='1. This changes the meaning of the query to return all the records from the

accounts database, instead of only the intended customer's. http://example.com/app/accountView?id= ' or

'1'='1 In the worst case, the attacker uses this weakness to invoke special stored procedures in the database, allowing a complete takeover of the database host.


 * OWASP SQL Injection Prevention Cheat Sheet
 * OWASP Injection Flaws Article
 * ESAPI Encoder API
 * ESAPI Input Validation API
 * ASVS: Output Encoding/Escaping Requirements (V6)
 * OWASP Testing Guide: Chapter on SQL Injection Testing
 * OWASP Code Review Guide: Chapter on SQL Injection
 * OWASP Code Review Guide: Command Injection


 * CWE Entry 77 on Command Injection
 * CWE Entry 89 on SQL Injection