Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"

From OWASP
Jump to: navigation, search
m (+Referenz "BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel' (Potenziell gefährliche Zeichen für Interpreter)")
m
(15 intermediate revisions by one user not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)|prev=Top_10_fuer_Entwickler/Risiken}}
+
{{Top_10_2010_Developer_Edition_De:TopTemplate
==Testseite in Bearbeitung (BAUSTELLE!!)==
+
    |useprev=PrevLink_Germany_Projekte
====die Überschriften kommen z.T noch von den Templates der englischen Top 10, Tbd!!====
+
    |usenext=NextLink_Germany_Projekte
----
+
    |prev=Top_10_fuer_Entwickler/Risiken
 +
    |next=Top_10_fuer_Entwickler/A2_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
 +
              |2
 +
              |language=de
 +
              |year=2010}}
 +
}}
 +
 
 +
== Seite in Bearbeitung (BAUSTELLE!!) ==
 +
 
 +
 
 
== A1 Injection (Befehle einschleusen)==  
 
== A1 Injection (Befehle einschleusen)==  
  
Line 9: Line 18:
 
{{Top_10_2010:SummaryTableValue-2-Template|Verbreitung|HÄUFIG}}
 
{{Top_10_2010:SummaryTableValue-2-Template|Verbreitung|HÄUFIG}}
 
{{Top_10_2010:SummaryTableValue-2-Template|Auffindbarkeit|DURCHSCHNITTLICH}}
 
{{Top_10_2010:SummaryTableValue-2-Template|Auffindbarkeit|DURCHSCHNITTLICH}}
{{Top_10_2010:SummaryTableValue-1-Template|Auiswirkung|SCHWERWIEGEND}}
+
{{Top_10_2010:SummaryTableValue-1-Template|Auswirkung|SCHWERWIEGEND}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
Line 19: Line 28:
 
{{Top_10_2010:SummaryTableEndTemplate}}
 
{{Top_10_2010:SummaryTableEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=1}}   
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=1|year=2010|language=de}}   
 
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der '''<u>verwundbaren</u>''' SQL-Abfrage:
 
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der '''<u>verwundbaren</u>''' SQL-Abfrage:
 
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt -->
 
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt -->
Line 26: Line 35:
 
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
 
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=1}}  
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=1|year=2010|language=de}}  
 
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
 
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
 
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
 
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
Line 32: Line 41:
 
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
 
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
 
</td> </tr>
 
</td> </tr>
<tr><td>
+
</table>
==JAVA== 
+
<!-- z.Z ohne Template --->
+
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=3|risk=1}}
+
= '''JAVA''' = 
 +
<!-- z.Z ohne Template --->
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=1|year=2010|language=de}} <!-- war number=3 -->
 
====Prepared Statements (Parameterized Queries) [nur für SQL]====
 
====Prepared Statements (Parameterized Queries) [nur für SQL]====
  
Line 47: Line 56:
 
{{Top_10_2010:ExampleEndTemplate}}  
 
{{Top_10_2010:ExampleEndTemplate}}  
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1|year=2010|language=de}}
 
====Stored Procedures [nur für SQL]====
 
====Stored Procedures [nur für SQL]====
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
String custname = request.getParameter("customerName"); // This should REALLY be validated<br>
 
String custname = request.getParameter("customerName"); // This should REALLY be validated<br>
try {<br>
+
<span style="color: green;">'''try {'''</span>
:<span style="color: green;">'''CallableStatement cs = connection.prepareCall'''</span><br>
+
: <span style="color: green;">'''CallableStatement cs = connection.prepareCall'''</span><br>
:: <span style="color: green;">'''("{call sp_getAccountBalance(?)}");'''</span><br>
+
:: <span style="color: green;">'''("{call sp_getAccountBalance(?)}");'''</span><br>
: <span style="color: green;">'''cs.setString(1, custname);ResultSet results = cs.executeQuery();</span><br>  
+
: <span style="color: green;">'''cs.setString(1, custname);ResultSet results = cs.executeQuery();</span><br>
:: <span style="color: green;">'''// … result set handling'''</span><br>
+
:: <span style="color: green;">'''// … result set handling'''</span><br>
 
<span style="color: green;">'''} catch (SQLException se) {'''</span><br>
 
<span style="color: green;">'''} catch (SQLException se) {'''</span><br>
: <span style="color: green;">'''// … logging and error handling'''</span><br>
+
: <span style="color: green;">'''// … logging and error handling'''</span><br>
 
<span style="color: green;">'''}'''</span>
 
<span style="color: green;">'''}'''</span>
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=1}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=1|year=2010|language=de}}
 
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
 
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[OWASP’s ESAPI]].
+
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
 
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
Line 73: Line 82:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=1}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=1|year=2010|language=de}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
Line 83: Line 92:
 
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
 
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
 
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
 
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
{{Top_10_2010:SubSubsectionExternalReferencesTemplate}}
+
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate|language=de}}
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel' (Potenziell gefährliche Zeichen für Interpreter)]
+
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)|useprev=PrevLink_Germany_Projekte|prev=Top_10_fuer_Entwickler}}
+
* [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)]
 +
</td></tr></table>
 +
 
 +
= '''Test''' =
 +
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=1|year=2010|language=de}}
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
tbd
 +
Text
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1|year=2010|language=de}}
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
tbd
 +
Text
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=1|year=2010|language=de}}
 +
tbd
 +
Text
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=1|year=2010|language=de}}
 +
(ganze Breite)
 +
Text
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=1|year=2010|language=de}}
 +
</td></tr></table>
 +
<headertabs />
 +
 
 +
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
 +
    |type=0
 +
    |useprev=PrevLink_Germany_Projekte
 +
    |usenext=NextLink_Germany_Projekte
 +
    |prev=Top_10_fuer_Entwickler/Risiken
 +
    |next=Top_10_fuer_Entwickler/A2_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
 +
              |2
 +
              |language=de
 +
              |year=2010}}
 +
}}
  
 
[[Category:OWASP Top 10 fuer Entwickler]]
 
[[Category:OWASP Top 10 fuer Entwickler]]

Revision as of 05:50, 8 March 2013

← Top_10_fuer_Entwickler/Risiken
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/A2_Cross-Site Scripting (XSS) →

Seite in Bearbeitung (BAUSTELLE!!)

A1 Injection (Befehle einschleusen)

Threat Agents
Attack Vectors
Security Weakness
Technical Impacts
Business Impacts
______ Ausnutzbarkeit
EINFACH
Verbreitung
HÄUFIG
Auffindbarkeit
DURCHSCHNITTLICH
Auswirkung
SCHWERWIEGEND
Application / Business Specific
Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen. Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen?
Bin ich durch 'Injection' verwundbar?

Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";

Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.

http://example.com/app/accountView?id=' or '1'='1

Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.

Wie kann ich 'Injection' verhindern?

Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.

  1. Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
  2. Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. OWASP's ESAPI stellt hierfür Routinen bereit.
  3. Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. OWASP's ESAPI stellt Routinen zur Eingabeprüfung gegen Positivlisten bereit.
[edit]

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

Prepared Statements (Parameterized Queries) [nur für SQL]

String custname = request.getParameter("customerName"); // This should REALLY be validated too
// perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);

ResultSet results = pstmt.executeQuery( );

</td>
                  <td
   style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">
Referenzen

Stored Procedures [nur für SQL]

String custname = request.getParameter("customerName"); // This should REALLY be validated
try {

CallableStatement cs = connection.prepareCall
("{call sp_getAccountBalance(?)}");
cs.setString(1, custname);ResultSet results = cs.executeQuery();
// … result set handling

} catch (SQLException se) {

// … logging and error handling

}

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.

Codec ORACLE_CODEC = new OracleCodec(); //added
String query = "SELECT user_id FROM user_data WHERE user_name = '" +

ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
req.getParameter("userID") ) + "' and user_password = '" +
ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
req.getParameter("pwd") ) +"'";
style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

OWASP

Andere

</td></tr></table>

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

tbd Text

</td>
                  <td
   style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">
Referenzen

tbd Text

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

tbd Text

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

(ganze Breite) Text

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

</td></tr></table>


← Top_10_fuer_Entwickler/Risiken
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/A2_Cross-Site Scripting (XSS) →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png