Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"

From OWASP
Jump to: navigation, search
Line 1: Line 1:
 
{{Top_10_2010:TopTemplate|usenext=2010NextLink|next=Germany/Projekte/Top 10 fuer Entwickler/A2 Cross-Site Scripting (XSS)|useprev=Top 10 fuer Entwickler|prev=Main}}
 
{{Top_10_2010:TopTemplate|usenext=2010NextLink|next=Germany/Projekte/Top 10 fuer Entwickler/A2 Cross-Site Scripting (XSS)|useprev=Top 10 fuer Entwickler|prev=Main}}
 
= Testseite in Bearbeitung (BAUSTELLE!!) =
 
= Testseite in Bearbeitung (BAUSTELLE!!) =
====die Überschriften kommen von den Templates der englischen Top 10, Tbd!!====
+
====die Überschriften kommen z.T noch von den Templates der englischen Top 10, Tbd!!====
 
----
 
----
 
= A1 Befehle unterschieben (Injection)=  
 
= A1 Befehle unterschieben (Injection)=  
Line 26: Line 26:
 
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
 
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=1}} <!-- Vermutlich brauchen wie hier ein entsprechenendes Template in Deutsch-->
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=1}}  
=== Wie kann ich Injektion verhindern? === <!-- >>> vorübergehend!!! -->
+
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
 +
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
 +
# Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html|spezielle Routinen] bereit.
 +
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
 +
</td> </tr>
 +
<tr><td>
 +
==JAVA==
 +
<!-- z.Z ohne Template --->
  
Preventing injection requires keeping untrusted data separate from commands and queries.
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=3|risk=1}}
 +
====Prepared Statements (Parameterized Queries) [nur für SQL]====
  
#The preferred option is to use a safe API which avoids the use of the interpreter entirely or provides a parameterized interface. Beware of APIs, such as
+
{{Top_10_2010:ExampleBeginTemplate}}String custname = request.getParameter("customerName"); // This should REALLY be validated too<br>// perform input validation to detect attacks<br>String query = "SELECT account_balance FROM user_data WHERE <span style="color: green;">'''user_name = ? ";<br>PreparedStatement pstmt = connection.prepareStatement( query );<br>pstmt.setString( 1, custname);<br>ResultSet results = pstmt.executeQuery( );'''</span>{{Top_10_2010:ExampleEndTemplate}}
  
stored procedures, that appear parameterized, but may still allow injection under the hood.
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1}}
#If a parameterized API is not available, you should carefully escape special characters using the specific escape syntax for that interpreter. [[ESAPI |  
+
Tbd
  
OWASP's ESAPI]] has some of these [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html escaping routines].
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=1}}
#Positive or "whitelist" input validation with appropriate canonicalization also helps protect against injection, but is '''not''' a complete defense as many
+
Tbd
  
applications require special characters in their input. [[ESAPI | OWASP's ESAPI]] has an extensible library of
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=1}}
 
+
[http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html white list input validation routines].
+
 
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=3|risk=1}}
+
The application uses untrusted data in the construction of the following vulnerable SQL call:
+
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id")
+
 
+
+"'";</span>{{Top_10_2010:ExampleEndTemplate}}
+
The attacker modifies the 'id' parameter in their browser to send: ' or '1'='1. This changes the meaning of the query to return all the records from the
+
 
+
accounts database, instead of only the intended customer's.
+
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/app/accountView?id=</nowiki><span style="color: red;">' or
+
 
+
'1'='1</span>{{Top_10_2010:ExampleEndTemplate}}
+
In the worst case, the attacker uses this weakness to invoke special stored procedures in the database, allowing a complete takeover of the database host.
+
 
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1}}
+
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]

Revision as of 11:48, 31 January 2013

Template:Top 10 fuer Entwickler
Top 10 Introduction
Top 10 Risks
Germany/Projekte/Top 10 fuer Entwickler/A2 Cross-Site Scripting (XSS) →

Testseite in Bearbeitung (BAUSTELLE!!)

die Überschriften kommen z.T noch von den Templates der englischen Top 10, Tbd!!


A1 Befehle unterschieben (Injection)

Threat Agents Attack Vectors Security Weakness Technical Impacts Business Impacts
Application Specific Ausnutzbarkeit
EINFACH
Verbreitung
HAÜFIG
Auffindbarkeit
DURCHSCHNITTLICH
Auiswirkung
SCHWERWIEGEND
Application / Business Specific
Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. Der Angreifer sen-det einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injec-tion-Vektor darstel-len, einschließlich interner Quellen. Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen. Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen?
Am I Vulnerable To 'Injection'?

Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";

Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.

http://example.com/app/accountView?id=' or '1'='1

Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.

How Do I Prevent 'Injection'?

Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.

  1. Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
  2. Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. OWASP's ESAPI stellt hierfür Routinen bereit.
  3. Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. OWASP's ESAPI stellt Routinen zur Eingabeprüfung gegen Positivlisten bereit.

JAVA

Example Attack Scenarios

Prepared Statements (Parameterized Queries) [nur für SQL]

String custname = request.getParameter("customerName"); // This should REALLY be validated too
// perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);
ResultSet results = pstmt.executeQuery( );
References

Tbd

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

Tbd

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

OWASP

External

← Main
Top 10 Introduction
Top 10 Risks
[[Top_10_2010-A2-Cross-Site Scripting

(XSS)|A2-Cross-Site Scripting

(XSS) →]]


© 2002-2010 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png