Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A7-Fehlerhafte Autorisierung auf Anwendungsebene"

From OWASP
Jump to: navigation, search
m ({{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate|year=2010|language=de}}: year and language added)
(3 intermediate revisions by one user not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht|prev=Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung}}
+
{{Top_10_2010_Developer_Edition_De:TopTemplate
 +
    |useprev=PrevLink_Germany_Projekte
 +
    |usenext=NextLink_Germany_Projekte
 +
    |prev=Top_10_fuer_Entwickler/A7_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
 +
              |7
 +
              |language=de
 +
              |year=2010}}
 +
    |next=Top_10_fuer_Entwickler/A9_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
 +
              |9
 +
              |language=de
 +
              |year=2010}}
 +
}}
 
== Seite in Bearbeitung (BAUSTELLE!!) ==
 
== Seite in Bearbeitung (BAUSTELLE!!) ==
  
Line 5: Line 16:
 
== A8 Mangelhafter URL-Zugriffsschutz)==  
 
== A8 Mangelhafter URL-Zugriffsschutz)==  
  
{{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate}}
+
{{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate|year=2010|language=de}}
 
{{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}}
 
{{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}}
 
{{Top_10_2010:SummaryTableValue-3-Template|Verbreitung|SELTEN}}
 
{{Top_10_2010:SummaryTableValue-3-Template|Verbreitung|SELTEN}}
Line 25: Line 36:
 
{{Top_10_2010:SummaryTableEndTemplate}}
 
{{Top_10_2010:SummaryTableEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=8}}   
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=8|year=2010|language=de}}   
 
Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich.
 
Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich.
 
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;"><nowiki>http://example.com/app/getappInfo</nowiki><br/>
 
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;"><nowiki>http://example.com/app/getappInfo</nowiki><br/>
Line 32: Line 43:
 
Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt.
 
Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt.
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=8}}  
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=8|year=2010|language=de}}  
 
Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:
 
Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:
 
# Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten.
 
# Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten.
Line 43: Line 54:
 
= '''JAVA''' =   
 
= '''JAVA''' =   
 
<!-- z.Z ohne Template --->
 
<!-- z.Z ohne Template --->
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=8}} <!-- war number=3 -->
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=8|year=2010|language=de}} <!-- war number=3 -->
 
tbd.
 
tbd.
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=8}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=8|year=2010|language=de}}
 
tbd.
 
tbd.
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=8}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=8|year=2010|language=de}}
 
tbd.
 
tbd.
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=8}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=8|year=2010|language=de}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
 
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
Line 60: Line 71:
 
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
 
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
 
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
 
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate}}
+
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate|language=de}}
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
 
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
Line 69: Line 80:
 
= '''Test''' =
 
= '''Test''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=1}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=8|year=2010|language=de}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 75: Line 86:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=8|year=2010|language=de}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
{{Top_10_2010:ExampleBeginTemplate}}
 
tbd
 
tbd
Line 81: Line 92:
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=1}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=8|year=2010|language=de}}
 
tbd
 
tbd
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=1}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=8|year=2010|language=de}}
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=1}}
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=8|year=2010|language=de}}
 
</td></tr></table>
 
</td></tr></table>
 
<headertabs />
 
<headertabs />
  
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate|type=0|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)|useprev=PrevLink_Germany_Projekte|prev=Top_10_fuer_Entwickler}}
+
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
 +
    |type=0
 +
    |useprev=PrevLink_Germany_Projekte
 +
    |usenext=NextLink_Germany_Projekte
 +
    |prev=Top_10_fuer_Entwickler/A7_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
 +
              |7
 +
              |language=de
 +
              |year=2010}}
 +
    |next=Top_10_fuer_Entwickler/A9_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
 +
              |9
 +
              |language=de
 +
              |year=2010}}
 +
}}
  
  
 
[[Category:OWASP Top 10 fuer Entwickler]]
 
[[Category:OWASP Top 10 fuer Entwickler]]

Revision as of 06:39, 18 March 2013

← Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht →

Seite in Bearbeitung (BAUSTELLE!!)

A8 Mangelhafter URL-Zugriffsschutz)

Bedrohungsquelle
Angriffsvektor
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
______ Ausnutzbarkeit
EINFACH
Verbreitung
SELTEN
Auffindbarkeit
DURCHSCHNITTLICH
Auswirkung
MITTEL
Application / Business Specific
Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.
Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten?
Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff?
Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen.
In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren.
Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren.
Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind.
Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp.
Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.
Bin ich durch 'Mangelhafter URL-Zugriffsschutz' verwundbar?

Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich.

http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo

Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf “admin_getappInfo” zugreifen kann, so ist dies ein Fehler, der ggf. den Angreifer auf weitere ungenügend geschützte administrative Seiten führen könnte.
Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt.

Wie kann ich 'Mangelhafter URL-Zugriffsschutz' verhindern?

Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:

  1. Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten.
  2. Die Richtlinien sollen granular konfigurierbar sein, um die Unflexibilität einer “festen Verdrahtung” zu verhindern.
  3. Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können.
  4. Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren.
[edit]

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

tbd.

</td>
                  <td
   style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">
Referenzen

tbd.

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

tbd.

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

OWASP

Andere

</td></tr></table>

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

tbd Text

</td>
                  <td
   style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">
Referenzen

tbd Text

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

tbd Text

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

(ganze Breite) Text

style="vertical-align: top; padding:5px; width: 50%;
          border: 3px solid 
  1. 4F81BD;
          background-color: 
  1. F2F2F2;">

</td></tr></table>


← Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png