Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A7-Fehlerhafte Autorisierung auf Anwendungsebene"

From OWASP
Jump to: navigation, search
(Created page with "{{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Spei...")
 
(Referenzen)
(12 intermediate revisions by 2 users not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate|useprev=PrevLink_Germany_Projekte|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung|prev=Top_10_fuer_Entwickler/A9_Unzureichende Absicherung der Transportschicht}}
+
{{Top_10_2010_Developer_Edition_De:TopTemplate
 +
    |useprev=PrevLink_Germany_Projekte
 +
    |usenext=NextLink_Germany_Projekte
 +
    |prev=Top_10_fuer_Entwickler/A7_{{Top_10_2010:ByTheNumbers
 +
              |7
 +
              |language=de
 +
              |year=2010}}
 +
    |next=Top_10_2013_fuer_Entwickler/A9_{{Top_10_2010:ByTheNumbers
 +
              |9
 +
              |language=de
 +
              |year=2013}}
 +
}}
 
== Seite in Bearbeitung (BAUSTELLE!!) ==
 
== Seite in Bearbeitung (BAUSTELLE!!) ==
  
  
== A8 Mangelhafter URL-Zugriffsschutz)==  
+
==A8 Mangelhafter URL-Zugriffsschutz==  
  
{{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate}}
+
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2010|language=de}}
{{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}}
+
  {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=3|detectability=2|impact=2|language=de|year=2010}}
{{Top_10_2010:SummaryTableValue-3-Template|Verbreitung|SELTEN}}
+
{{Top_10_2010:SummaryTableValue-2-Template|Auffindbarkeit|DURCHSCHNITTLICH}}
+
{{Top_10_2010:SummaryTableValue-2-Template|Auswirkung|MITTEL}}
+
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.<br/>
 
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.<br/>
 
Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten?</td>
 
Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten?</td>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff?<br>
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff?<br/>
 +
 
 
Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen.</td>
 
Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen.</td>
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren.  
+
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren.<br/>
 
Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren.</td>
 
Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren.</td>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind.  
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind.<br/>
 
Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp.</td>
 
Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp.</td>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.  
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.<br/>
 
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.</td>
 
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.</td>
 
 
{{Top_10_2010:SummaryTableEndTemplate}}
 
{{Top_10_2010:SummaryTableEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=1|risk=1}}   
+
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=8|year=2010|language=de}}   
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der '''<u>verwundbaren</u>''' SQL-Abfrage:
+
Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich.
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt -->
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden.
+
<nowiki>http://example.com/app/</nowiki><span style="color:red;">'''getappInfo'''</span><br/>
{{Top_10_2010:ExampleBeginTemplate}}<nowiki>http://example.com/app/accountView?id=</nowiki><span style="color: red;">'''' or '1'='1'''</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' --->
+
<nowiki>http://example.com/app/</nowiki><span style="color:red;">'''admin_getappInfo'''</span>
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen.
+
{{Top_10_2010:ExampleEndTemplate}}  
 +
Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf “<span style="color:red;">'''admin_getappInfo'''</span>” zugreifen kann, so ist dies ein Fehler, der ggf. den Angreifer auf weitere ungenügend geschützte administrative Seiten führen könnte.<br/>
 +
Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt.
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=2|risk=1}}  
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=8|year=2010|language=de}}  
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.'''
+
Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können.
+
# Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten.
# Wenn eine typsichere API nicht verfügbar ist, sollten Sie Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. [[ESAPI | OWASP's ESAPI]] stellt hierfür [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html|spezielle Routinen] bereit.
+
# Die Richtlinien sollen granular konfigurierbar sein, um die Unflexibilität einer “festen Verdrahtung” zu verhindern.
# Auch die Eingabeprüfung gegen Positivlisten nach Kanonisierung wird empfohlen, ist aber kein vollständiger Schutz, da viele Anwendungen Metazeichen in den Eingaben erfordern. [[ESAPI | OWASP's ESAPI]] stellt [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html|erweiterbare Routinen zur Eingabeprüfung gegen Positivlisten] bereit.
+
# Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können.
</td> </tr>
+
# Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren.
</table>
+
{{Top_10:SubsectionTableEndTemplate}}
  
 
= '''JAVA''' =   
 
= '''JAVA''' =   
 
<!-- z.Z ohne Template --->
 
<!-- z.Z ohne Template --->
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=1}} <!-- war number=3 -->
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=8|year=2010|language=de}}  
====Prepared Statements (Parameterized Queries) [nur für SQL]====
+
===Zugriffssteuerung über den Web-Container (Declarative Access Control)===
 +
Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei web.xml (Deployment Descriptor). Es ist kein Programmieraufwand notwendig.
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
;Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug):
  
{{Top_10_2010:ExampleBeginTemplate}}
+
&lt;security-constraint&gt;<br/>
String custname = request.getParameter("customerName"); // This should REALLY be validated too<br>
+
: &lt;web-resource-collection&gt;
// perform input validation to detect attacks<br>
+
:: &lt;web-resource-name&gt;Restricted Resources&lt;/web-resource-name&gt;
String query = "SELECT account_balance FROM user_data WHERE <span style="color: green;">'''user_name = ? ";'''</span><br>
+
:: &lt;description&gt;Only for Authenticated Users&lt;/description&gt;
<span style="color: green;">'''PreparedStatement pstmt = connection.prepareStatement( query );<br>pstmt.setString( 1, custname);'''</span><br>
+
:: &lt;!-- Fail-Safe Default: Protect all URLs --&gt;
<span style="color: green;">'''ResultSet results = pstmt.executeQuery( );'''</span>
+
:: &lt;url-pattern>/*&lt;/url-pattern&gt;
 +
:: &lt;http-method>GET&lt;/http-method&gt;
 +
:: &lt;http-method>POST&lt;/http-method&gt;
 +
:&lt;/web-resource-collection&gt;
 +
: &lt;auth-constraint&gt;
 +
::  &lt;role-name&gt;AuthorizedUser&lt;/role-name&gt;
 +
: &lt;/auth-constraint&gt;
 +
&lt;/security-constraint&gt;<br/>
 +
<br/>
 +
&lt;security-constraint&gt;<br/>
 +
: &lt;web-resource-collection&gt;
 +
:: &lt;web-resource-name&gt;MyLogin&lt;/web-resource-name&gt;
 +
:: &lt;description&gt;Access to Login&lt;/description&gt;
 +
:: &lt;url-pattern&gt;/login.jsp&lt;/url-pattern&gt;
 +
:: &lt;http-method>GET&lt;/http-method&gt;
 +
:: &lt;http-method>POST&lt;/http-method&gt;
 +
:&lt;/web-resource-collection&gt;
 +
: &lt;!-- No auth-constraint: Public Access! --&gt;
 +
&lt;/security-constraint&gt;<br/>
 +
<br/>
 +
&lt;security-constraint&gt;<br/>
 +
: &lt;web-resource-collection&gt;
 +
:: &lt;web-resource-name&gt;Public Resources&lt;/web-resource-name&gt;
 +
:: &lt;description&gt;Some public pages&lt;/description&gt;
 +
::  &lt;url-pattern&gt;/index.jsp&lt;/url-pattern&gt;
 +
::  &lt;url-pattern&gt;/public/*&lt;/url-pattern&gt;
 +
:: &lt;http-method&gt;GET&lt;/http-method&gt;
 +
:&lt;/web-resource-collection&gt;
 +
: &lt;!-- No auth-constraint: Public Access! --&gt;
 +
&lt;/security-constraint&gt;<br/>
 
{{Top_10_2010:ExampleEndTemplate}}  
 
{{Top_10_2010:ExampleEndTemplate}}  
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=8|year=2010|language=de}}
 +
tbd.
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=8|year=2010|language=de}}
 +
tbd.
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=8|year=2010|language=de}}
 +
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 +
* [https://www.owasp.org/index.php/Top_10_2007-Failure_to_Restrict_URL_Access  <u>OWASP Top 10-2007 on Failure to Restrict URL Access</u>]
 +
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html  <u>ESAPI Access Control API</u>]
 +
* [https://www.owasp.org/index.php/Guide_to_Authorization  <u>OWASP Development Guide: Chapter on Authorization</u>]
 +
* [https://www.owasp.org/index.php/Testing_for_Path_Traversal  <u>OWASP Testing Guide: Testing for Path Traversal</u>]
 +
* [https://www.owasp.org/index.php/Forced_browsing  <u>OWASP Article on Forced Browsing</u>]
 +
* [[JAAS_Tomcat_Login_Module#5_-_Configure_the_security_constraints_in_web.xml |<u>JAAS_Tomcat_Login_Module: Configure the security constraints in web.xml</u>]]
 +
* [[Declarative_Access_Control_in_Java|<u>Declarative_Access_Control_in_Java</u>]]
 +
* [[Codereview-Deployment#Protecting_JSP_Pages |<u>Codereview-Deployment: Protecting_JSP_Pages</u>]]
 +
* [http://secappdev.org/handouts/2012/Jim%20Manico%20&%20%20Eoin%20Keary/Final%20-%20Access%20Control%20Module%20v4.1.pdf <u>Web App Access Control Design</u>]
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1}}
+
Weitere Anforderungen an den Zugriffsschutz sind in der [https://www.owasp.org/index.php/ASVS <u>ASVS requirements area for Access Control (V4)</u>] enthalten, deutsche Übersetzung (Ver 1.0): ([http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.pdf <u>PDF</u>], [http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.doc <u>Word</u>])<br/>  
====Stored Procedures [nur für SQL]====
+
{{Top_10_2010:ExampleBeginTemplate}}
+
String custname = request.getParameter("customerName"); // This should REALLY be validated<br>
+
<span style="color: green;">'''try {'''</span>
+
: <span style="color: green;">'''CallableStatement cs = connection.prepareCall'''</span><br>
+
:: <span style="color: green;">'''("{call sp_getAccountBalance(?)}");'''</span><br>
+
: <span style="color: green;">'''cs.setString(1, custname);ResultSet results = cs.executeQuery();</span><br>
+
:: <span style="color: green;">'''// … result set handling'''</span><br>
+
<span style="color: green;">'''} catch (SQLException se) {'''</span><br>
+
: <span style="color: green;">'''// … logging and error handling'''</span><br>
+
<span style="color: green;">'''}'''</span>
+
{{Top_10_2010:ExampleEndTemplate}}
+
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=5|risk=1}}
+
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}}
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)====
+
* [http://cwe.mitre.org/data/definitions/285.html <u>CWE Entry 285 on Improper Access Control (Authorization)</u>]
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].
+
{{Top_10:SubsectionTableEndTemplate}}
{{Top_10_2010:ExampleBeginTemplate}}
+
Codec ORACLE_CODEC = new OracleCodec(); //added<br>
+
String query = "SELECT user_id FROM user_data WHERE user_name = '" +<br>
+
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
+
: <span style="color: green;">'''req.getParameter("userID") )'''</span> + "' and user_password = '" +<br>
+
: <span style="color: green;">'''ESAPI.encoder().encodeForSQL( ORACLE_CODEC, //added'''</span><br>
+
: <span style="color: green;">'''req.getParameter("pwd") )'''</span> +"'";
+
{{Top_10_2010:ExampleEndTemplate}}
+
 
+
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=8|risk=1}}
+
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
+
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]]
+
* [[Command_Injection | OWASP Injection Flaws Article]]
+
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html ESAPI Encoder API]
+
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html ESAPI Input Validation API]
+
* [http://www.owasp.org/index.php/ASVS#tab=Downloads ASVS: Output Encoding/Escaping Requirements (V6)]
+
* [[Testing_for_SQL_Injection_(OWASP-DV-005) | OWASP Testing Guide: Chapter on SQL Injection Testing]]
+
* [[Reviewing_Code_for_SQL_Injection | OWASP Code Review Guide: Chapter on SQL Injection]]
+
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]]
+
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate}}
+
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection]
+
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection]
+
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Hilfsmittel.pdf BSI: IT-Grundschutz Baustein Webanwendungen: 'Hilfsmittel'<br>(Potenziell gefährliche Zeichen für Interpreter)]
+
* [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)]
+
</td></tr></table>
+
  
 
= '''Test''' =
 
= '''Test''' =
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
 
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=11|risk=1}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=8|year=2010|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
tbd
 
tbd
 
Text
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=4|risk=1}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=8|year=2010|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 
tbd
 
tbd
 
Text
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=6|risk=1}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=8|year=2010|language=de}}
 
tbd
 
tbd
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=7|risk=1}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=8|year=2010|language=de}}
 
(ganze Breite)
 
(ganze Breite)
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|number=9|risk=1}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=8|year=2010|language=de}}
</td></tr></table>
+
{{Top_10:SubsectionTableEndTemplate}}
 
<headertabs />
 
<headertabs />
  
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate|type=0|usenext=NextLink_Germany_Projekte|next=Top_10_fuer_Entwickler/A2_Cross-Site_Scripting_(XSS)|useprev=PrevLink_Germany_Projekte|prev=Top_10_fuer_Entwickler}}
+
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
 +
    |type=0
 +
    |useprev=PrevLink_Germany_Projekte
 +
    |usenext=NextLink_Germany_Projekte
 +
    |prev=Top_10_fuer_Entwickler/A7_{{Top_10_2010:ByTheNumbers
 +
              |7
 +
              |language=de
 +
              |year=2010}}
 +
    |next=Top_10_2013_fuer_Entwickler/A9_{{Top_10_2010:ByTheNumbers
 +
              |9
 +
              |language=de
 +
              |year=2013}}
 +
}}
  
  
 
[[Category:OWASP Top 10 fuer Entwickler]]
 
[[Category:OWASP Top 10 fuer Entwickler]]

Revision as of 10:04, 15 May 2013

← Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_2013_fuer_Entwickler/A9_Benutzen von Komponenten mit bekannten Schwachstellen →

Seite in Bearbeitung (BAUSTELLE!!)

A8 Mangelhafter URL-Zugriffsschutz

Bedrohungsquelle
Angriffsvektor
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
Anwendungs-
spezifisch
Ausnutzbarkeit
EINFACH
Verbreitung
SELTEN
Auffindbarkeit
DURCHSCHNITTLICH
Auswirkung
MITTEL
Application / Business Specific
Jeder mit Netzwerkzugriff kann Anfragen an die Anwendung senden.
Können anonyme Benutzer auf private Seiten zugreifen oder normale Benutzer auf privilegierte Seiten?
Ein angemeldeter Benutzer ändert den URL auf eine Seite für privilegierte Benutzer. Erhält er Zugriff?
Anonyme Benutzer könnten auf ungeschützte, private Seiten zugreifen.
In Anwendungen wird der Zugriff auf Seiten nicht immer verlässlich abgesichert. Manchmal wird Zugriffsschutz durch Konfiguration realisiert, die ggf. auch fehlerhaft sein kann. Manchmal vergessen die Entwickler auch nur, die notwendige Prüfung zu implementieren.
Solche Fehler lassen sich einfach entdecken. Die Schwierigkeit besteht darin, herauszufinden, welche angreifbaren Seiten (URLs) existieren.
Solche Fehler erlauben es Angreifern, Funktionen zu nutzen, für die sie nicht berechtigt sind.
Administrative Aufgaben sind ein wesentliches Ziel bei diesem Angriffstyp.
Betrachten Sie den Wert der Geschäftsprozesse der betroffenen Funktionen und Daten.
Bedenken Sie ebenfalls die Auswirkung auf Ihre Reputation im Falle eines Bekanntwerdens der Schwachstelle.
Mögliche Angriffsszenarien

Der Angreifer ruft die Zieladressen einfach direkt auf. Gegeben sind die folgenden Adressen, die beide eine Anmeldung erzwingen sollten. Für den Aufruf von “admin_getappInfo” sind darüber hinaus administrative Rechte erforderlich.

http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo

Erhält der Angreifer Zugriff, obwohl er nicht angemeldet ist, dann ist ein unerlaubter Zugriff möglich. Wenn ein angemeldeter, aber nicht administrativer Benutzer auf “admin_getappInfo” zugreifen kann, so ist dies ein Fehler, der ggf. den Angreifer auf weitere ungenügend geschützte administrative Seiten führen könnte.
Solche Fehler treten oft dann auf, wenn Links oder Navigationselemente einem unautorisierten Benutzer nicht angezeigt werden, die Anwendung selbst jedoch den Schutz der einzelnen, verlinkten Seiten nicht sicherstellt.

Wie kann ich 'Mangelhafter URL-Zugriffsschutz' verhindern?

Um nicht ausreichenden Zugriffsschutz zu verhindern, muss man einen Ansatz zur korrekten Authentifizierung und Autorisierung für jede Seite wählen. Häufig werden solche Schutzfunktionen von einer oder mehreren externen Komponenten außerhalb des Anwendungs-Codes bereitgestellt. Unabhängig von den eingesetzten Mechanismen gelten die folgenden Empfehlungen:

  1. Vorgaben für Authentifizierung und Autorisierung sollten rollenbasiert sein und als Richtlinien hinterlegt sein, um den Verwaltungsaufwand möglichst klein zu halten.
  2. Die Richtlinien sollen granular konfigurierbar sein, um die Unflexibilität einer “festen Verdrahtung” zu verhindern.
  3. Die Mechanismen sollten in der Standardeinstellung jeglichen Zugriff untersagen. Dies erfordert explizite Rechtevergabe für spezifische Benutzer und Rollen, um auf die jeweilige Seite zugreifen zu können.
  4. Falls die Seite Teil eines Workflows ist, stellen Sie sicher, dass der gesamte Workflow die Bedingungen erfüllt, die notwendig sind, um den Zugriff zu gewähren.
[edit]

Verteidigungs-Option 1 gegen 'Mangelhafter URL-Zugriffsschutz':

Zugriffssteuerung über den Web-Container (Declarative Access Control)

Die Autorisierung übernimmt der Web-Container. Die Steuerung erfolgt über die Konfigurationsdatei web.xml (Deployment Descriptor). Es ist kein Programmieraufwand notwendig.

Konfigurationsdatei 'WEB-INF/web.xml' des Webservers (Auszug)

<security-constraint>

<web-resource-collection>
<web-resource-name>Restricted Resources</web-resource-name>
<description>Only for Authenticated Users</description>
<!-- Fail-Safe Default: Protect all URLs -->
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>AuthorizedUser</role-name>
</auth-constraint>

</security-constraint>

<security-constraint>

<web-resource-collection>
<web-resource-name>MyLogin</web-resource-name>
<description>Access to Login</description>
<url-pattern>/login.jsp</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<!-- No auth-constraint: Public Access! -->

</security-constraint>

<security-constraint>

<web-resource-collection>
<web-resource-name>Public Resources</web-resource-name>
<description>Some public pages</description>
<url-pattern>/index.jsp</url-pattern>
<url-pattern>/public/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
<!-- No auth-constraint: Public Access! -->

</security-constraint>

Verteidigungs-Option 2 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd.

Verteidigungs-Option 3 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd.

Referenzen

OWASP

Weitere Anforderungen an den Zugriffsschutz sind in der ASVS requirements area for Access Control (V4) enthalten, deutsche Übersetzung (Ver 1.0): (PDF, Word)

Andere

Verteidigungs-Option 1 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd Text

Verteidigungs-Option 2 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd Text

Verteidigungs-Option 3 gegen 'Mangelhafter URL-Zugriffsschutz':

tbd Text

Auswirkung(en) auf den Benutzer

(ganze Breite) Text

Referenzen


← Top_10_fuer_Entwickler/A7_Kryptografisch unsichere Speicherung
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Top_10_2013_fuer_Entwickler/A9_Benutzen von Komponenten mit bekannten Schwachstellen →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png