Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A7-Fehlerhafte Autorisierung auf Anwendungsebene"

From OWASP
Jump to: navigation, search
m
m (Überschrift mithilfe 'Top_10_2010:SubsectionColoredTemplate' hinzugefügt)
(5 intermediate revisions by one user not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate
+
{{Top_10_2013_DeveloperEdition:TopTemplate
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
     |prev=Top_10_fuer_Entwickler/A7_{{Top_10_2010:ByTheNumbers
+
     |prev=A6-{{Top_10_2010:ByTheNumbers
               |7
+
               |6
               |language=de
+
               |year=2013
               |year=2010}}
+
               |language=de}}
     |next=Top_10_2013_fuer_Entwickler/A9_{{Top_10_2010:ByTheNumbers
+
     |next=A8-{{Top_10_2010:ByTheNumbers
               |9
+
               |8
               |language=de
+
              |year=2013
              |year=2013}}
+
               |language=de}}
 +
    |year=2013
 +
    |language=de
 
}}
 
}}
== Seite in Bearbeitung (BAUSTELLE!!) ==
 
  
 
+
{{Top_10_2010:SubsectionColoredTemplate
==A8 Mangelhafter URL-Zugriffsschutz==  
+
      |A7 {{Top_10_2010:ByTheNumbers
 +
              |7
 +
              |year=2013
 +
              |language=de}}
 +
      ||year=2013
 +
}}
  
 
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2010|language=de}}
 
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2010|language=de}}
Line 47: Line 53:
 
# Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können.
 
# Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können.
 
# Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren.
 
# Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren.
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=left|risk=7|year=2013}}
 +
====temporär: Auszug aus [[Top_10_2013-A7-Missing Function Level Access Control| Top 10-2013 RC1: A7-Missing Function Level Access Control]]====
 +
<u>Scenario #1:</u> The attacker simply force browses to target URLs. The following URLs require authentication. Admin rights are also required for access to the “admin_getappInfo” page.
 +
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>
 +
http://example.com/app/getappInfo
 +
http://example.com/app/admin_getappInfo
 +
</nowiki> {{Top_10_2010:ExampleEndTemplate}}
 +
If an unauthenticated user can  access either page, that’s a flaw. If an authenticated, non-admin, user is allowed to access the “admin_getappInfo” page, this is also a flaw, and may lead the attacker to more improperly protected admin pages.
 +
 +
<u>Scenario #2:</u> A page provides an ‘action ‘parameter to specify the function being invoked, and different actions require different roles. If these roles aren’t enforced, that’s a flaw.
 +
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=7|year=2013}}
 +
====temporär: Auszug aus [[Top_10_2013-A7-Missing Function Level Access Control| Top 10-2013 RC1: A7-Missing Function Level Access Control]]====
 +
Your application should have a consistent and easily analyzable authorization module that is invoked from all your business functions.  Frequently, such protection is provided by one or more components external to the application code.
 +
# Think about the process for managing entitlements and ensure you can update and audit easily. Don’t hard code.
 +
# The enforcement mechanism(s) should deny all access by default, requiring explicit grants to specific roles for access to every function.
 +
# If the function is involved in a workflow, check to make sure the conditions are in the proper state to allow access.
 +
 +
NOTE: Most web applications don’t display links and buttons to unauthorized functions, but this “presentation layer access control” doesn’t actually provide protection. You must also implement checks in the controller or business logic.
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  
Line 104: Line 129:
 
* [https://www.owasp.org/index.php/Testing_for_Path_Traversal  <u>OWASP Testing Guide: Testing for Path Traversal</u>]
 
* [https://www.owasp.org/index.php/Testing_for_Path_Traversal  <u>OWASP Testing Guide: Testing for Path Traversal</u>]
 
* [https://www.owasp.org/index.php/Forced_browsing  <u>OWASP Article on Forced Browsing</u>]
 
* [https://www.owasp.org/index.php/Forced_browsing  <u>OWASP Article on Forced Browsing</u>]
 +
* [[JAAS_Tomcat_Login_Module#5_-_Configure_the_security_constraints_in_web.xml |<u>JAAS_Tomcat_Login_Module: Configure the security constraints in web.xml</u>]]
 +
* [[Declarative_Access_Control_in_Java|<u>Declarative_Access_Control_in_Java</u>]]
 +
* [[Codereview-Deployment#Protecting_JSP_Pages |<u>Codereview-Deployment: Protecting_JSP_Pages</u>]]
 +
* [http://secappdev.org/handouts/2012/Jim%20Manico%20&%20%20Eoin%20Keary/Final%20-%20Access%20Control%20Module%20v4.1.pdf <u>Web App Access Control Design</u>]
  
Weitere Anforderungen an den Zugriffsschutz sind in der [https://www.owasp.org/index.php/ASVS  <u>ASVS requirements area for Access Control (V4)</u>] enthalten.
+
Weitere Anforderungen an den Zugriffsschutz sind in der [https://www.owasp.org/index.php/ASVS  <u>ASVS requirements area for Access Control (V4)</u>] enthalten, deutsche Übersetzung (Ver 1.0): ([http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.pdf <u>PDF</u>], [http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.doc <u>Word</u>])<br/>
  
 
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}}
 
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}}
 
* [http://cwe.mitre.org/data/definitions/285.html  <u>CWE Entry 285 on Improper Access Control (Authorization)</u>]
 
* [http://cwe.mitre.org/data/definitions/285.html  <u>CWE Entry 285 on Improper Access Control (Authorization)</u>]
{{Top_10:SubsectionTableEndTemplate}}
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=JAVA
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=A6-{{Top_10_2010:ByTheNumbers
 +
              |6
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A8-{{Top_10_2010:ByTheNumbers
 +
              |8
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
  
 
= '''Test''' =
 
= '''Test''' =
Line 134: Line 177:
  
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=8|year=2010|language=de}}
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=8|year=2010|language=de}}
{{Top_10:SubsectionTableEndTemplate}}
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=Test
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=A6-{{Top_10_2010:ByTheNumbers
 +
              |6
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A8-{{Top_10_2010:ByTheNumbers
 +
              |8
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 
<headertabs />
 
<headertabs />
 
+
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
+
 
     |type=0
 
     |type=0
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
     |prev=Top_10_fuer_Entwickler/A7_{{Top_10_2010:ByTheNumbers
+
     |prev=A6-{{Top_10_2010:ByTheNumbers
               |7
+
               |6
               |language=de
+
               |year=2013
               |year=2010}}
+
               |language=de}}
     |next=Top_10_2013_fuer_Entwickler/A9_{{Top_10_2010:ByTheNumbers
+
     |next=A8-{{Top_10_2010:ByTheNumbers
               |9
+
               |8
               |language=de
+
              |year=2013
              |year=2013}}
+
               |language=de}}
 +
    |year=2013
 +
    |language=de
 
}}
 
}}
 
 
[[Category:OWASP Top 10 fuer Entwickler]]
 

Revision as of 07:35, 17 July 2013

BAUSTELLE! Hier entsteht das deutsche Wiki der OWASP Top 10 fuer Entwickler-2013

← A6-Verlust der Vertraulichkeit sensibler Daten
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A8-Cross-Site Request Forgery (CSRF) →
A7 Fehlerhafte Autorisierung auf Anwendungsebene


Bedrohungsquelle
Angriffsvektor
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
Application Specific Ausnutzbarkeit
EINFACH
Verbreitung
SELTEN
Auffindbarkeit
DURCHSCHNITTLICH
Auswirkung
MITTEL
Application / Business Specific
Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.
Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten?
Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff?
Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen.
In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren.
Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren.
Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind.
Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp.
Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.
Mögliche Angriffsszenarien

Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich.

http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo

Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf “admin_getappInfo” zugreifen kann, so ist dies ein Fehler, der ggf. den Angreifer auf weitere ungenügend geschützte administrative Seiten führen könnte.
Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt.

Wie kann ich 'Mangelhafter URL-Zugriffsschutz' verhindern?

Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:

  1. Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten.
  2. Die Richtlinien sollen granular konfigurierbar sein, um die Unflexibilität einer “festen Verdrahtung” zu verhindern.
  3. Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können.
  4. Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren.
Example Attack Scenarios

temporär: Auszug aus Top 10-2013 RC1: A7-Missing Function Level Access Control

Scenario #1: The attacker simply force browses to target URLs. The following URLs require authentication. Admin rights are also required for access to the “admin_getappInfo” page.

http://example.com/app/getappInfo http://example.com/app/admin_getappInfo

If an unauthenticated user can access either page, that’s a flaw. If an authenticated, non-admin, user is allowed to access the “admin_getappInfo” page, this is also a flaw, and may lead the attacker to more improperly protected admin pages.

Scenario #2: A page provides an ‘action ‘parameter to specify the function being invoked, and different actions require different roles. If these roles aren’t enforced, that’s a flaw.

How Do I Prevent 'Missing Function Level Access Control'?

temporär: Auszug aus Top 10-2013 RC1: A7-Missing Function Level Access Control

Your application should have a consistent and easily analyzable authorization module that is invoked from all your business functions. Frequently, such protection is provided by one or more components external to the application code.

  1. Think about the process for managing entitlements and ensure you can update and audit easily. Don’t hard code.
  2. The enforcement mechanism(s) should deny all access by default, requiring explicit grants to specific roles for access to every function.
  3. If the function is involved in a workflow, check to make sure the conditions are in the proper state to allow access.

NOTE: Most web applications don’t display links and buttons to unauthorized functions, but this “presentation layer access control” doesn’t actually provide protection. You must also implement checks in the controller or business logic.

[edit]

Verteidigungs-Option 1 gegen 'Mangelhafter URL-Zugriffsschutz':

Zugriffssteuerung über den Web-Container (Declarative Access Control)

Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei web.xml (Deployment Descriptor). Es ist kein Programmieraufwand notwendig.

Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug)

<security-constraint>

<web-resource-collection>
<web-resource-name>Restricted Resources</web-resource-name>
<description>Only for Authenticated Users</description>
<!-- Fail-Safe Default: Protect all URLs -->
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>AuthorizedUser</role-name>
</auth-constraint>

</security-constraint>

<security-constraint>

<web-resource-collection>
<web-resource-name>MyLogin</web-resource-name>
<description>Access to Login</description>
<url-pattern>/login.jsp</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<!-- No auth-constraint: Public Access! -->

</security-constraint>

<security-constraint>

<web-resource-collection>
<web-resource-name>Public Resources</web-resource-name>
<description>Some public pages</description>
<url-pattern>/index.jsp</url-pattern>
<url-pattern>/public/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
<!-- No auth-constraint: Public Access! -->

</security-constraint>

Verteidigungs-Option 2 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd.

Verteidigungs-Option 3 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd.

Referenzen

OWASP

Weitere Anforderungen an den Zugriffsschutz sind in der ASVS requirements area for Access Control (V4) enthalten, deutsche Übersetzung (Ver 1.0): (PDF, Word)

Andere

Verteidigungs-Option 1 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd Text

Verteidigungs-Option 2 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd Text

Verteidigungs-Option 3 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd Text

Auswirkung(en) auf den Benutzer

(ganze Breite) Text

Referenzen

← A6-Verlust der Vertraulichkeit sensibler Daten
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A8-Cross-Site Request Forgery (CSRF) →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png