Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"

From OWASP
Jump to: navigation, search
(Changed: Use New Varaibles of 'Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate')
(47 intermediate revisions by 3 users not shown)
Line 1: Line 1:
{{Top_10_2010:TopTemplate|usenext=2010NextLink|next=Germany/Projekte/Top 10 fuer Entwickler/A2 Cross-Site Scripting (XSS)|useprev=Top 10 fuer Entwickler|prev=Main}}
+
{{Top_10_2010_Developer_Edition_De:TopTemplate
= Testseite in Bearbeitung (BAUSTELLE!!) =
+
    |useprev=PrevLink_Germany_Projekte
====die Überschriften kommen von den Templates der englischen Top 10, Tbd!!====
+
    |usenext=NextLink_Germany_Projekte
----
+
    |prev=Top_10_fuer_Entwickler/Risiken
= A1 Befehle unterschieben (Injection)=
+
    |next=Top_10_fuer_Entwickler/A2_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
 +
              |2
 +
              |language=de
 +
              |year=2010}}
 +
}}
  
{{Top_10_2010:SummaryTableHeaderBeginTemplate}} <!-- noch von der PDF-Version zu übernehmen -->
+
== Seite in Bearbeitung (BAUSTELLE!!) ==
 +
 
 +
 
 +
== A1 Injection (Anfragen an den Interpreter manipulieren)==
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate|year=2010|language=de}}
 
{{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}}
 
{{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}}
{{Top_10_2010:SummaryTableValue-2-Template|Verbreitung|HAÜFIG}}
+
{{Top_10_2010:SummaryTableValue-2-Template|Verbreitung|HÄUFIG}}
 
{{Top_10_2010:SummaryTableValue-2-Template|Auffindbarkeit|DURCHSCHNITTLICH}}
 
{{Top_10_2010:SummaryTableValue-2-Template|Auffindbarkeit|DURCHSCHNITTLICH}}
{{Top_10_2010:SummaryTableValue-1-Template|Auiswirkung|SCHWERWIEGEND}}
+
{{Top_10_2010:SummaryTableValue-1-Template|Auswirkung|SCHWERWIEGEND}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren.</td>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sen-det einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injec-tion-Vektor darstel-len, einschließlich interner Quellen.</td>
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen.</td>
 
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen.</td>
 
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen.</td>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen.</td>
Line 19: Line 28:
 
{{Top_10_2010:SummaryTableEndTemplate}}
 
{{Top_10_2010:SummaryTableEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=1}}   
+
{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=1|year=2010|language=de}}   
<!-- Temporär Template 3, eigentlich würde dioe Überschrift vom Template 3 in Deutsch passen!! Vermutlich brauchen wie hier ein entsprechenendes Template  in Deutsch-->
+
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der '''<u>verwundbaren</u>''' SQL-Abfrage:
=== Mögliche Angriffsszenarien === <!-- >>> vorübergehend!!! -->
+
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der <u>verwundbaren</u> SQL-Abfrage:
+
 
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt -->
 
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt -->
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.
+
<!--- Beispiel für Hibernate hinzugefügt -->
 +
Durch das alleinige Vertrauen auf Frameworks kann die Abfrage '''<u>verwundbar</u>''' bleiben (z.B. Hibernate Query Language (HQL)): 
 +
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+'''request.getParameter("id")'''+"'");</span>{{Top_10_2010:ExampleEndTemplate}}<!--- Ende Beispiel für Hibernate -->
 +
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: <span style="color:red;">'''' or '1'='1'''</span>. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.
 
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/app/accountView?id=</nowiki><span style="color: red;">'''' or '1'='1'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
 
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/app/accountView?id=</nowiki><span style="color: red;">'''' or '1'='1'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
 
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
 
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
  
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=1}} <!-- Vermutlich brauchen wie hier ein entsprechenendes Template in Deutsch-->
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=1|year=2010|language=de}}  
=== Wie kann ich Injektion verhindern? === <!-- >>> vorübergehend!!! -->
+
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
 +
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
 +
# Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html|spezielle Routinen] bereit.
 +
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
 +
{{Top_10:SubsectionTableEndTemplate}}
  
Preventing injection requires keeping untrusted data separate from commands and queries.
+
= '''JAVA''' = 
 +
<!-- z.Z ohne Template --->
 +
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2010|language=de}}
 +
====Prepared Statements (Parameterized Queries) [nur für SQL]====
 +
Java - Standard
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
String custname = request.getParameter("customerName"); // This should REALLY be validated too<br>
 +
// perform input validation to detect attacks<br>
 +
String query = "SELECT account_balance FROM user_data WHERE <span style="color: green;">'''user_name = ?'''</span> ";<br/>
 +
<span style="color: green;">'''PreparedStatement pstmt = connection.prepareStatement( query );<br>pstmt.setString( 1, custname);'''</span><br>
 +
<span style="color: green;">'''ResultSet results = pstmt.executeQuery( );'''</span>
 +
{{Top_10_2010:ExampleEndTemplate}}<br/>
 +
Java - Hibernate
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
String userSuppliedParameter = request.getParameter("id"); // This should REALLY be validated too<br>
 +
// perform input validation to detect attacks<br>
 +
<span style="color: green;">''' Query safeHQLQuery = session.createQuery("from Inventory where productID=:productid");</span><br/>
 +
<span style="color: green;">'''safeHQLQuery.setParameter("productid", userSuppliedParameter)''';</span>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
vgl [[Query_Parameterization Cheat Sheet | OWASP Query_Parameterization Cheat Sheet]]
  
#The preferred option is to use a safe API which avoids the use of the interpreter entirely or provides a parameterized interface. Beware of APIs, such as
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2010|language=de}}
 +
====ESAPI====
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
tbd
 +
<!---- gelöscht
 +
String custname = request.getParameter("customerName"); // This should REALLY be validated<br>
 +
<span style="color: green;">'''try {'''</span>
 +
: <span style="color: green;">'''CallableStatement cs = connection.prepareCall'''</span><br>
 +
::  <span style="color: green;">'''("{call sp_getAccountBalance(?)}");'''</span><br>
 +
: <span style="color: green;">'''cs.setString(1, custname);ResultSet results = cs.executeQuery();</span><br>
 +
::  <span style="color: green;">'''// … result set handling'''</span><br>
 +
<span style="color: green;">'''} catch (SQLException se) {'''</span><br>
 +
: <span style="color: green;">'''// … logging and error handling'''</span><br>
 +
<span style="color: green;">'''}'''</span>
 +
---->
 +
{{Top_10_2010:ExampleEndTemplate}}
  
stored procedures, that appear parameterized, but may still allow injection under the hood.
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=1|year=2010|language=de}}
#If a parameterized API is not available, you should carefully escape special characters using the specific escape syntax for that interpreter. [[ESAPI |  
+
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
 +
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
 +
String query = "SELECT user_id FROM user_data WHERE user_name = '" +<br>
 +
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
 +
: <span style="color: green;">'''req.getParameter("userID") )'''</span> + "' and user_password = '" +<br>
 +
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
 +
: <span style="color: green;">'''req.getParameter("pwd") )'''</span> +"'";
 +
{{Top_10_2010:ExampleEndTemplate}}
  
OWASP's ESAPI]] has some of these [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html escaping routines].
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2010|language=de}}
#Positive or "whitelist" input validation with appropriate canonicalization also helps protect against injection, but is '''not''' a complete defense as many
+
 
+
applications require special characters in their input. [[ESAPI | OWASP's ESAPI]] has an extensible library of
+
 
+
[http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html white list input validation routines].
+
 
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=3|risk=1}}
+
The application uses untrusted data in the construction of the following vulnerable SQL call:
+
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id")
+
 
+
+"'";</span>{{Top_10_2010:ExampleEndTemplate}}
+
The attacker modifies the 'id' parameter in their browser to send: ' or '1'='1. This changes the meaning of the query to return all the records from the
+
 
+
accounts database, instead of only the intended customer's.
+
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/app/accountView?id=</nowiki><span style="color: red;">' or
+
 
+
'1'='1</span>{{Top_10_2010:ExampleEndTemplate}}
+
In the worst case, the attacker uses this weakness to invoke special stored procedures in the database, allowing a complete takeover of the database host.
+
 
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1}}
+
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
Line 68: Line 105:
 
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
 
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
 
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
 
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
{{Top_10_2010:SubSubsectionExternalReferencesTemplate}}
+
* [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)]
 +
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate|language=de}}
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
{{Top_10_2010:BottomAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|usenext=2010NextLink|next=A2-Cross-Site Scripting
+
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
 +
{{Top_10:SubsectionTableEndTemplate}}
 +
 
 +
= '''dotNET''' =
 +
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 +
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2010|language=de}}
 +
====Prepared Statements (Parameterized Queries) [nur für SQL]====
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
var conn = new SqlConnection(connString);<br/>
 +
using (var command = new SqlCommand("GetProducts", conn))<br/>
 +
{<br/>
 +
:  <span style="color: green;">'''command.CommandType = CommandType.StoredProcedure;'''</span><br/>
 +
:  <span style="color: green;">'''command.Parameters.Add("@CategoryID", SqlDbType.Int).Value = catID;'''</span><br/>
 +
:  <span style="color: green;">'''command.Connection.Open();'''</span><br/>
 +
:  <span style="color: green;">'''grdProducts.DataSource = command.ExecuteReader();'''</span><br/>
 +
:  <span style="color: green;">'''grdProducts.DataBind();'''</span><br/>
 +
} {{Top_10_2010:ExampleEndTemplate}}
 +
vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection]
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2010|language=de}}
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
tbd: Register für .NET, bitte befüllen<br/>
 +
Text
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=1|year=2010|language=de}}
 +
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
 +
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].<br/>
 +
<br/>
 +
Manueller Filer für eine Zahl:
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
var catID = Request.QueryString["CategoryID"];<br/>
 +
<span style="color: green;">'''var positiveIntRegex = new Regex(@"^0*[1-9][0-9]*$");'''</span><br/>
 +
<span style="color: green;">'''if(!positiveIntRegex.IsMatch(catID))'''</span><br/>
 +
<span style="color: green;">'''{'''</span><br/>
 +
:  <span style="color: green;">'''lblResults.Text = "An invalid CategoryID has been specified.";'''</span><br/>
 +
:  <span style="color: green;">'''return;'''</span><br/>
 +
<span style="color: green;">'''}'''</span>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection]
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=right|risk=1|year=2010|language=de}}
 +
(optional)
 +
Text
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=1|year=2010|language=de}}
 +
{{Top_10:SubsectionTableEndTemplate}}
 +
 
 +
= '''PHP''' =
 +
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 +
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2010|language=de}}
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
tbd: Register für PHP, bitte befüllen<br/>
 +
Text
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2010|language=de}}
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
tbd
 +
Text
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=1|year=2010|language=de}}
 +
tbd
 +
Text
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=1|year=2010|language=de}}
 +
(optional)
 +
Text
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2010|language=de}}
 +
{{Top_10:SubsectionTableEndTemplate}}
 +
 
 +
= '''Test''' =
 +
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 +
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2010|language=de}}
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
tbd
 +
Text
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2010|language=de}}
 +
{{Top_10_2010:ExampleBeginTemplate}}
 +
tbd
 +
Text
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=1|year=2010|language=de}}
 +
tbd
 +
Text
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=1|year=2010|language=de}}
 +
(optional)
 +
Text
 +
 
 +
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2010|language=de}}
 +
{{Top_10:SubsectionTableEndTemplate}}
 +
<headertabs />
  
(XSS)|useprev=2010PrevLink|prev=Main}}
+
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
 +
    |type=0
 +
    |useprev=PrevLink_Germany_Projekte
 +
    |usenext=NextLink_Germany_Projekte
 +
    |prev=Top_10_fuer_Entwickler/Risiken
 +
    |next=Top_10_fuer_Entwickler/A2_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
 +
              |2
 +
              |language=de
 +
              |year=2010}}
 +
}}
  
[[Category:OWASP Top Ten Project]]
+
[[Category:OWASP Top 10 fuer Entwickler]]

Revision as of 16:39, 6 April 2013

← Top_10_fuer_Entwickler/Risiken
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/A2_Cross-Site Scripting (XSS) →

Seite in Bearbeitung (BAUSTELLE!!)

A1 Injection (Anfragen an den Interpreter manipulieren)

Bedrohungsquelle
Angriffsvektor
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
______ Ausnutzbarkeit
EINFACH
Verbreitung
HÄUFIG
Auffindbarkeit
DURCHSCHNITTLICH
Auswirkung
SCHWERWIEGEND
Application / Business Specific
Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen. Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen?
Mögliche Angriffsszenarien

Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";

Durch das alleinige Vertrauen auf Frameworks kann die Abfrage verwundbar bleiben (z.B. Hibernate Query Language (HQL)):

Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+request.getParameter("id")+"'");

Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.

http://example.com/app/accountView?id=' or '1'='1

Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.

Wie kann ich 'Injection' verhindern?

Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.

  1. Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
  2. Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. OWASP's ESAPI stellt hierfür Routinen bereit.
  3. Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. OWASP's ESAPI stellt Routinen zur Eingabeprüfung gegen Positivlisten bereit.
[edit]

Verteidigungs-Option 1 gegen 'Injection':

Prepared Statements (Parameterized Queries) [nur für SQL]

Java - Standard

String custname = request.getParameter("customerName"); // This should REALLY be validated too
// perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);

ResultSet results = pstmt.executeQuery( );


Java - Hibernate

String userSuppliedParameter = request.getParameter("id"); // This should REALLY be validated too
// perform input validation to detect attacks
Query safeHQLQuery = session.createQuery("from Inventory where productID=:productid");
safeHQLQuery.setParameter("productid", userSuppliedParameter);

vgl OWASP Query_Parameterization Cheat Sheet

Verteidigungs-Option 2 gegen 'Injection':

ESAPI

tbd

Verteidigungs-Option 3 gegen 'Injection':

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.

Codec ORACLE_CODEC = new OracleCodec(); //added
String query = "SELECT user_id FROM user_data WHERE user_name = '" +

ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
req.getParameter("userID") ) + "' and user_password = '" +
ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added
req.getParameter("pwd") ) +"'";
Referenzen

OWASP

Andere

Verteidigungs-Option 1 gegen 'Injection':

Prepared Statements (Parameterized Queries) [nur für SQL]

var conn = new SqlConnection(connString);
using (var command = new SqlCommand("GetProducts", conn))
{

command.CommandType = CommandType.StoredProcedure;
command.Parameters.Add("@CategoryID", SqlDbType.Int).Value = catID;
command.Connection.Open();
grdProducts.DataSource = command.ExecuteReader();
grdProducts.DataBind();
}

vgl OWASP Top 10 for .NET developers part 1: Injection

Verteidigungs-Option 2 gegen 'Injection':

tbd: Register für .NET, bitte befüllen
Text

Verteidigungs-Option 3 gegen 'Injection':

Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)

Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI.

Manueller Filer für eine Zahl:

var catID = Request.QueryString["CategoryID"];
var positiveIntRegex = new Regex(@"^0*[1-9][0-9]*$");
if(!positiveIntRegex.IsMatch(catID))
{

lblResults.Text = "An invalid CategoryID has been specified.";
return;

}

vgl OWASP Top 10 for .NET developers part 1: Injection

Auswirkung(en) auf den Benutzer

(optional) Text

Referenzen

Verteidigungs-Option 1 gegen 'Injection':

tbd: Register für PHP, bitte befüllen
Text

Verteidigungs-Option 2 gegen 'Injection':

tbd Text

Verteidigungs-Option 3 gegen 'Injection':

tbd Text

Auswirkung(en) auf den Benutzer

(optional) Text

Referenzen

Verteidigungs-Option 1 gegen 'Injection':

tbd Text

Verteidigungs-Option 2 gegen 'Injection':

tbd Text

Verteidigungs-Option 3 gegen 'Injection':

tbd Text

Auswirkung(en) auf den Benutzer

(optional) Text

Referenzen


← Top_10_fuer_Entwickler/Risiken
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/A2_Cross-Site Scripting (XSS) →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png