Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A2-Fehler in Authentisierung und Session-Management"

From OWASP
Jump to: navigation, search
(Created page with "{{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A4_Unsichere direkte Objektrefer...")
 
m (<headertabs /> für JAVA eingefügt, +Category)
Line 1: Line 1:
 
{{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A4_Unsichere direkte Objektreferenzen|prev=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)}}
 
{{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A4_Unsichere direkte Objektreferenzen|prev=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)}}
==Testseite in Bearbeitung (BAUSTELLE!!)==
+
== Seite in Bearbeitung (BAUSTELLE!!) ==
====die Überschriften kommen z.T noch von den Templates der englischen Top 10, Tbd!!====
+
 
----
+
 
== A3 Fehler in Authentifizierung und Session-Management==  
 
== A3 Fehler in Authentifizierung und Session-Management==  
  
Line 35: Line 34:
 
# Ressourcen zur Implementierung schweißtreibender Maßnahmen zur Vermeidung von XSS, die in Diebstahl von Session-IDs resultieren. Siehe A2.
 
# Ressourcen zur Implementierung schweißtreibender Maßnahmen zur Vermeidung von XSS, die in Diebstahl von Session-IDs resultieren. Siehe A2.
 
</td> </tr>
 
</td> </tr>
<tr><td>
+
<tr><td colspan="2">
==JAVA==   
+
 
 +
= '''JAVA''' =   
 
<!-- z.Z ohne Template --->
 
<!-- z.Z ohne Template --->
  
Line 72: Line 72:
 
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)|useprev=PrevLink_Germany_Projekte|prev=Top_10_fuer_Entwickler}}
 
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)|useprev=PrevLink_Germany_Projekte|prev=Top_10_fuer_Entwickler}}
  
[[Category:OWASP Top 10 fuer Entwickler]]
+
<headertabs />
 +
 
 +
[[Category:OWASP_Top_Ten_Project]] [[Category:Germany]]

Revision as of 09:32, 20 February 2013

← Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/A4_Unsichere direkte Objektreferenzen →

Seite in Bearbeitung (BAUSTELLE!!)

A3 Fehler in Authentifizierung und Session-Management

Threat Agents
Attack Vectors
Security Weakness
Technical Impacts
Business Impacts
______ Ausnutzbarkeit
DURCHSCHNITTLICH
Verbreitung
HÄUFIG
Auffindbarkeit
DURCHSCHNITTLICH
Auiswirkung
SCHWERWIEGEND
Application / Business Specific
Nicht authentifizierte Angreifer sowie authenti- fizierte Nutzer könnten versuchen, Zugangs- daten anderer zu stehlen. In Betracht kommen außerdem Innentäter, die ihre Handlungen verschleiern wollen. Angreifer nutzen Lücken bei der Authentifi- zierung oder im Sessionmanagement (z.B. ungeschützte Nutzerkonten, Passwörter, Session-IDs), um sich eine fremde Identität zu verschaffen. Obwohl es sehr schwierig ist, ein sicheres Authentifizierungs- und Session-Management zu implementieren, setzen Entwickler häufig auf eigene Lösungen. Diese haben dann oft Fehler bei Abmeldung und Passwortmanagement, bei der Wiedererkennung des Benutzers, bei Timeouts, Sicherheitsabfragen usw. Das Auffinden dieser Fehler kann sehr schwierig sein, besonders wenn es sich um individuelle Implementierungen handelt. Diese Fehler führen zur Kompromittierung von Benutzerkonten. Ein erfolgreicher Angreifer hat alle Rechte des Opfers. Privilegierte Zu- gänge sind oft Ziel solcher Angriffe. Betrachten Sie den Geschäftswert der betro- ffenen Daten oder Anwendungsfunktionen. Betrachten Sie weiterhin Auswirkungen auf das Unter-nehmen beim Bekanntwerden der Schwachstelle.
Am I Vulnerable To 'Injection'?

Szenario 1: Eine Flugbuchungsanwendung fügt die Session ID in die URL ein:

http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii

Ein authentifizierter Anwender möchte dieses Angebot seinen Freunden mitteilen. Er versendet obigen Link per E-Mail, ohne zu wissen, dass er seine Session-ID preisgibt. Nutzen seine Freunde den Link, können sie seine Session sowie seine Kreditkartendaten benutzen.

Szenario 2: Anwendungs-Timeouts sind falsch konfiguriert. Ein Anwender verwendet einen öffentlichen PC, um die Anwendung aufzurufen. Anstatt die „Abmelden“ Funktion zu nutzen, schließt der Anwender nur den Browser. Der Browser ist auch eine Stunde später noch authentifiziert, wenn ein potentieller Angreifer ihn öffnet.

Szenario 3: Ein Angreifer erlangt Zugang zur unverschlüsselten Passwortdatenbank des Systems. Damit fallen alle Zugangsdaten im Klartext in die Hände des Angreifers.

How Do I Prevent 'Broken Authentication and Session Management'?

Wir empfehlen Organisationen und Unternehmen, ihren Entwicklern folgende Mittel bereitzustellen:

  1. Zentrale Mechanismen für wirksame Authentifizierung und Session-Management, die folgendes leisten:
    1. Einhaltung aller Anforderungen an Authentifizierung und Session-Management aus dem OWASP Application Security Verification Standard (ASVS) V2 und V3.
    2. Eine einfache Schnittstelle für Entwickler. Als gutes Beispiel können die ESAPI Authenticator and User APIs herangezogen werden.
  2. Ressourcen zur Implementierung schweißtreibender Maßnahmen zur Vermeidung von XSS, die in Diebstahl von Session-IDs resultieren. Siehe A2.

JAVA

Example Attack Scenarios
References
style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">
style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

OWASP

External

← Top_10_fuer_Entwickler
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS) →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png