Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"

From OWASP
Jump to: navigation, search
m (Beispiel für Option 3 in Oprtion 2 verschoben => Option 3: tbd)
m (Überschrift mithilfe 'Top_10_2010:SubsectionColoredTemplate' hinzugefügt)
(11 intermediate revisions by 2 users not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate
+
{{Top_10_2013_DeveloperEdition:TopTemplate
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
     |prev=Top_10_fuer_Entwickler/{{Top_10:LanguageFile|text=risks|language=de}}
+
     |prev={{Top_10:LanguageFile|text=top10|year=2013|language=de}}
     |next=Top_10_fuer_Entwickler/A2_{{Top_10_2010:ByTheNumbers
+
     |next=A2-{{Top_10_2010:ByTheNumbers
 
               |2
 
               |2
               |language=de
+
               |year=2013
               |year=2010}}
+
               |language=de}}
 +
    |year=2013
 +
    |language=de
 
}}
 
}}
 
+
{{Top_10_2010:SubsectionColoredTemplate|A1 Injection (Anfragen an den Interpreter manipulieren)||year=2013}}
== Seite in Bearbeitung (BAUSTELLE!!) + Test für Top 10-Style 2013 ==
+
 
+
 
+
== A1 Injection (Anfragen an den Interpreter manipulieren)==
+
  
 
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}}
 
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}}
 
   {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=2|impact=1|language=de|year=2013}}
 
   {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=2|impact=1|language=de|year=2013}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen.</td>
 
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen.</td>
 
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen.</td>
Line 38: Line 36:
 
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
 
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
 
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
 
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
# Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html|spezielle Routinen] bereit.
+
# Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html spezielle Routinen] bereit.
 
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
 
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
Line 64: Line 62:
  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}}
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}}
====ESAPI====
+
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)<br/>[bisher nur für SQL]====
 +
Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
 
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
Line 86: Line 85:
  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=1|year=2013|language=de}}
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=1|year=2013|language=de}}
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
+
====Benutzereingaben sorgfältig mittels Positivlisten prüfen ([[Input_Validation_Cheat_Sheet|<u>White List Input Validation</u>]])====
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].
+
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme.  
 +
Die Benutzereingaben sind zunächst zu normalisieren (= kanonisieren). APIs, wie [[ESAPI | OWASP's ESAPI]] erledigen dies automatisch. Beschränken Sie bei den [[Input_Validation_Cheat_Sheet|<u>Regeln für die Postivlisten</u>]] die erlaubten Zeichen, ggf. die erlaubte Zeichenfolge und den gültigen Wertebereich bzw. die Länge der erwarteten Eingabe.
 +
Seien Sie besonders vorsichtig, wenn Sie Zeichen erlauben möchten, die das Backend als Metazeichen benutzt, z.B. <b>&apos;</b> und <b>&quot;</b> (vgl [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf <u>Potenziell gefährliche Zeichen für Interpreter</u>]). Wandeln Sie diese jeweils in ungefährliche Zeichen um, z.B. mittels Kodierung vor der weiteren Verarbeitung (Encoding, z.B. in &amp;#x27; und &amp;quot;).
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
//performing input validation<br/>
 
//performing input validation<br/>
Line 94: Line 95:
 
String query = "SELECT user_id FROM user_data WHERE user_name = '" + ... <br/>
 
String query = "SELECT user_id FROM user_data WHERE user_name = '" + ... <br/>
 
...<br/>
 
...<br/>
<!---
+
<!--- TEST, noch nicht geprüft!!!
 
//performing input validation
 
//performing input validation
ESAPI.validator().getValidInput
+
<span style="color: green;">'''String validatedName=ESAPI.validator().getValidInput("PersonName", form.getName, "Validator.Name", 32, false);'''</span><br>
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
+
<span style="color: green;">'''String validatedStreet=ESAPI.validator().getValidInput("StreetName", form.getStreet, "Validator.Name", 48, false);'''</span><br>
String query = "SELECT user_id FROM user_data WHERE user_name = '" +<br>
+
//performing encoding
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
+
Encoder encoder = ESAPI.encoder();
: <span style="color: green;">'''req.getParameter("userID") )'''</span> + "' and user_password = '" +<br>
+
String safeName=encoder.encodeForHTML(validatedName);
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
+
String safeStreet=encoder.encodeForHTML(validatedStreet);
: <span style="color: green;">'''req.getParameter("pwd") )'''</span> +"'";
+
String query = "SELECT phone_number FROM user_data WHERE name = '" +<br>
 +
: safeName + "' and street = '" + safeStreet +"'";<br/>
 +
<br/>
 +
.esapi/validation.properties:  /* zusätzliche Filter ggf. anhand [[Validation_Regex_Repository|OWASP Validation Regex Repository]] erstellen*/
 +
Validator.Name=^[a-zA-ZäöüßáàéèôÄÖÜÁÀÉÈ]+(([',. -][a-zA-Z[a-zA-ZäöüßáàéèôÄÖÜÁÀÉÈ] ])?[a-zA-Z[a-zA-ZäöüßáàéèôÄÖÜÁÀÉÈ]]*)*$
 
--->
 
--->
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
Line 121: Line 126:
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
 
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
 
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
{{Top_10:SubsectionTableEndTemplate}}
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=JAVA
 +
    |useprev=Nothing
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=
 +
    |next=A2-{{Top_10_2010:ByTheNumbers
 +
              |2
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
  
= '''dotNET''' =
+
= '''.NET''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
Line 166: Line 182:
  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=1|year=2013|language=de}}
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=1|year=2013|language=de}}
{{Top_10:SubsectionTableEndTemplate}}
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=.NET
 +
    |useprev=Nothing
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=
 +
    |next=A2-{{Top_10_2010:ByTheNumbers
 +
              |2
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
  
 
= '''PHP''' =
 
= '''PHP''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}}
 +
====Prepared Statements (Parameterized Queries)====
 +
PHP - PDO
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
tbd: Register für PHP, bitte befüllen<br/>
+
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
Text
+
 
 +
$stmt->bindParam(':name', $name);
 +
 
 +
$stmt->bindParam(':value', $value);
 +
{{Top_10_2010:ExampleEndTemplate}}<br/>  
 +
vgl [[Query_Parameterization Cheat Sheet | OWASP Query_Parameterization Cheat Sheet]]
 +
 
 +
PHP - mysqli
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
$stmt = $mysqli->prepare(
 +
'SELECT *
 +
FROM foo
 +
WHERE bar = ?'
 +
);
 +
 
 +
$stmt->bind_param(
 +
's',
 +
$value
 +
);
 +
 
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}}
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}}
 +
 +
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
 +
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI für Java]].<br/>
 +
Hier besteht die Gefahr, dass das escapen an einer Stelle vergessen wird, was die Sicherung komplett aushebeln würde.
 +
<br/>
 +
Manueller String Filter:
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
tbd
+
 
Text
+
$stmt = $mysqli->query( 'SELECT * FROM foo WHERE bar = ' . $mysqli->real_escape_string($input) );
 +
 
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
 +
  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=1|year=2013|language=de}}
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=1|year=2013|language=de}}
Line 191: Line 247:
  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2013|language=de}}
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2013|language=de}}
{{Top_10:SubsectionTableEndTemplate}}
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=PHP
 +
    |useprev=Nothing
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=
 +
    |next=A2-{{Top_10_2010:ByTheNumbers
 +
              |2
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
  
 
= '''Test''' =
 
= '''Test''' =
Line 216: Line 283:
  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2013|language=de}}
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2013|language=de}}
{{Top_10:SubsectionTableEndTemplate}}
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=Test
 +
    |useprev=Nothing
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=
 +
    |next=A2-{{Top_10_2010:ByTheNumbers
 +
              |2
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 
<headertabs />
 
<headertabs />
 
+
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
+
 
     |type=0
 
     |type=0
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
     |prev=Top_10_fuer_Entwickler/{{Top_10:LanguageFile|text=risks|language=de}}
+
     |prev={{Top_10:LanguageFile|text=top10|year=2013|language=de}}
     |next=Top_10_fuer_Entwickler/A2_{{Top_10_2010:ByTheNumbers
+
     |next=A2-{{Top_10_2010:ByTheNumbers
 
               |2
 
               |2
               |language=de
+
               |year=2013
               |year=2010}}
+
               |language=de}}
 +
    |year=2013
 +
    |language=de
 
}}
 
}}
 
[[Category:OWASP Top 10 fuer Entwickler]]
 

Revision as of 07:05, 17 July 2013

BAUSTELLE! Hier entsteht das deutsche Wiki der OWASP Top 10 fuer Entwickler-2013

← Top 10
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A2-Fehler in Authentisierung und Session-Management →
A1 Injection (Anfragen an den Interpreter manipulieren)


Bedrohungsquelle
Angriffsvektor
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
Application Specific Ausnutzbarkeit
EINFACH
Verbreitung
HÄUFIG
Auffindbarkeit
DURCHSCHNITTLICH
Auswirkung
SCHWERWIEGEND
Application / Business Specific
Jeder, der Daten, die nicht ausreichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen. Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen?
Mögliche Angriffsszenarien

Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";

Durch das alleinige Vertrauen auf Frameworks kann die Abfrage verwundbar bleiben (z.B. Hibernate Query Language (HQL)):

Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+request.getParameter("id")+"'");

Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.

http://example.com/app/accountView?id=' or '1'='1

Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.

Wie kann ich 'Injection' verhindern?

Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.

  1. Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
  2. Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. OWASP's ESAPI stellt hierfür spezielle Routinen bereit.
  3. Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. OWASP's ESAPI stellt Routinen zur Eingabeprüfung gegen Positivlisten bereit.
[edit]

Verteidigungs-Option 1 gegen 'Injection':

Prepared Statements (Parameterized Queries) [nur für SQL]

Java - Standard

String custname = request.getParameter("customerName"); // This should REALLY be validated too
// perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);

ResultSet results = pstmt.executeQuery( );


Java - Hibernate

String userSuppliedParameter = request.getParameter("id"); // This should REALLY be validated too
// perform input validation to detect attacks
Query safeHQLQuery = session.createQuery("from Inventory where productID=:productid");
safeHQLQuery.setParameter("productid", userSuppliedParameter);

vgl OWASP Query_Parameterization Cheat Sheet

Verteidigungs-Option 2 gegen 'Injection':

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)
[bisher nur für SQL]

Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.

Codec ORACLE_CODEC = new OracleCodec(); //added
String query = "SELECT user_id FROM user_data WHERE user_name = '" +

ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
req.getParameter("userID") ) + "' and user_password = '" +
ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
req.getParameter("pwd") ) +"'";
Verteidigungs-Option 3 gegen 'Injection':

Benutzereingaben sorgfältig mittels Positivlisten prüfen (White List Input Validation)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Benutzereingaben sind zunächst zu normalisieren (= kanonisieren). APIs, wie OWASP's ESAPI erledigen dies automatisch. Beschränken Sie bei den Regeln für die Postivlisten die erlaubten Zeichen, ggf. die erlaubte Zeichenfolge und den gültigen Wertebereich bzw. die Länge der erwarteten Eingabe. Seien Sie besonders vorsichtig, wenn Sie Zeichen erlauben möchten, die das Backend als Metazeichen benutzt, z.B. ' und " (vgl Potenziell gefährliche Zeichen für Interpreter). Wandeln Sie diese jeweils in ungefährliche Zeichen um, z.B. mittels Kodierung vor der weiteren Verarbeitung (Encoding, z.B. in &#x27; und &quot;).

//performing input validation
ESAPI.validator().getValidInput
...
String query = "SELECT user_id FROM user_data WHERE user_name = '" + ...
...

Referenzen

OWASP

Andere

    JAVA »

Verteidigungs-Option 1 gegen 'Injection':

Prepared Statements (Parameterized Queries) [nur für SQL]

var conn = new SqlConnection(connString);
using (var command = new SqlCommand("GetProducts", conn))
{

command.CommandType = CommandType.StoredProcedure;
command.Parameters.Add("@CategoryID", SqlDbType.Int).Value = catID;
command.Connection.Open();
grdProducts.DataSource = command.ExecuteReader();
grdProducts.DataBind();
}

vgl OWASP Top 10 for .NET developers part 1: Injection

Verteidigungs-Option 2 gegen 'Injection':

tbd: Register für .NET, bitte befüllen
Text

Verteidigungs-Option 3 gegen 'Injection':

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.

Manueller Filer für eine Zahl:

var catID = Request.QueryString["CategoryID"];
var positiveIntRegex = new Regex(@"^0*[1-9][0-9]*$");
if(!positiveIntRegex.IsMatch(catID))
{

lblResults.Text = "An invalid CategoryID has been specified.";
return;

}

vgl OWASP Top 10 for .NET developers part 1: Injection

Auswirkung(en) auf den Benutzer

(optional) Text

Referenzen
    .NET »

Verteidigungs-Option 1 gegen 'Injection':

Prepared Statements (Parameterized Queries)

PHP - PDO

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");

$stmt->bindParam(':name', $name);

$stmt->bindParam(':value', $value);


vgl OWASP Query_Parameterization Cheat Sheet

PHP - mysqli

$stmt = $mysqli->prepare( 'SELECT * FROM foo WHERE bar = ?' );

$stmt->bind_param( 's', $value );

Verteidigungs-Option 2 gegen 'Injection':

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI für Java.
Hier besteht die Gefahr, dass das escapen an einer Stelle vergessen wird, was die Sicherung komplett aushebeln würde.
Manueller String Filter:

$stmt = $mysqli->query( 'SELECT * FROM foo WHERE bar = ' . $mysqli->real_escape_string($input) );


Verteidigungs-Option 3 gegen 'Injection':

tbd Text

Auswirkung(en) auf den Benutzer

(optional) Text

Referenzen
    PHP »

Verteidigungs-Option 1 gegen 'Injection':

tbd Text

Verteidigungs-Option 2 gegen 'Injection':

tbd Text

Verteidigungs-Option 3 gegen 'Injection':

tbd Text

Auswirkung(en) auf den Benutzer

(optional) Text

Referenzen
    Test »

← Top 10
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A2-Fehler in Authentisierung und Session-Management →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png