O.Source 8: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „== Beschreibung == Nutzt die Web-Anwendung URL-Weiterleitungen (URL-Redirects), MUSS diese kontrolliert erfolgen. == Kurzfassung == Kontrollierte Verwendung von URL-Weiterleitungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator stellt sicher, dass URL-Weiterleitungen kontrolliert verwendet werden. Keinesfalls darf der Link auf eine externe Seite hierbei die Session-ID enthalten. Ist die Liste der Weiterleitungs-U…“) |
D.hack (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| (3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== Beschreibung == | == Beschreibung == | ||
[[Beschreibung:: | |||
Nutzt die Web-Anwendung URL-Weiterleitungen (URL-Redirects), MUSS diese kontrolliert erfolgen. | Nutzt die Web-Anwendung URL-Weiterleitungen (URL-Redirects), MUSS diese kontrolliert erfolgen. | ||
]] | |||
== Kurzfassung == | == Kurzfassung == | ||
[[Kurzfassung:: | |||
Kontrollierte Verwendung von URL-Weiterleitungen. | Kontrollierte Verwendung von URL-Weiterleitungen. | ||
]] | |||
== | == Testcharakteristik == | ||
==== Prüftiefe ==== | ==== Prüftiefe ==== | ||
{|class="wikitable" style="width:50%; border: 1px solid black;" | |||
:: | |- | ||
EXAMINE | ! style="background-color: #f2f2f2;" | Bezeichnung | ||
! style="background-color: #f2f2f2;" | Mindestanforderungen an die Prüfung | |||
|- | |||
| [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03161/BSI-TR-03161-2.pdf?__blob=publicationFile&v=10#%5B%7B%22num%22%3A65%2C%22gen%22%3A0%7D%2C%7B%22name%22%3A%22XYZ%22%7D%2C54%2C725%2C0%5D EXAMINE] | |||
| Der Evaluator untersucht (englisch „examine“, analog zu Begriffsverwendung in der Common Criteria Evaluation Methodology) die betreffende Testcharakteristik. Der Evaluator [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03161/BSI-TR-03161-2.pdf?__blob=publicationFile&v=10#%5B%7B%22num%22%3A15%2C%22gen%22%3A0%7D%2C%7B%22name%22%3A%22XYZ%22%7D%2C54%2C243%2C0%5D MUSS] in seiner Prüfung über die Mindestanforderungen für „[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03161/BSI-TR-03161-2.pdf?__blob=publicationFile&v=10#%5B%7B%22num%22%3A65%2C%22gen%22%3A0%7D%2C%7B%22name%22%3A%22XYZ%22%7D%2C54%2C725%2C0%5D CHECK]“ hinausgehen: In der Regel wird dies durch umfassende Quelltextanalyse der relevanten Implementierungsanteile und Penetrationstests geschehen. Die Unterstützung durch den Hersteller kann genutzt werden. „EXAMINE“ erfordert in jedem Fall eine eigenständige Beurteilung durch den Evaluator. | |||
|} | |||
<br /> | <br /> | ||
==== Ergänzende Informationen für Evaluatoren ==== | |||
[[Anmerkungen:: | |||
Der Evaluator stellt sicher, dass URL-Weiterleitungen kontrolliert verwendet werden. Keinesfalls darf der Link auf eine externe Seite hierbei die Session-ID enthalten. Ist die Liste der Weiterleitungs-URLs bekannt, darf auch nur auf diese weitergeleitet werden. Wenn möglich kann in diesen Fällen eine indizierte Liste auch serverseitig gehalten werden und die Weiterleitungs-URL dann über einen Index ermittelt werden. Eine Weiterleitung kann auch über eine dem Benutzer explizit angezeigte Webseite erfolgen, so dass der Benutzer selbst den Link vor dem aktiven Klick prüfen kann. Lokale Weiterleitungen sind daraufhin zu prüfen, dass die Ziel-URL nicht auf eine externe Seite führt. Wenn vermeidbar, sollte es dem Nutzer nicht selbst möglich sein, die Eingabe der Weiterleitungs-URL vorzunehmen. Ist es nicht vermeidbar, dass ein Nutzer selbst die Weiterleitungs-URL eingeben darf, muss diese umfassend daraufhin geprüft werden, dass sie gültig, zur Web-Anwendung passend und für den Nutzer zulässig ist. Wenn implementiert soll bevorzugt auf Whitelisting von erlaubten Adressen gesetzt werden und nicht auf Blacklisting. | Der Evaluator stellt sicher, dass URL-Weiterleitungen kontrolliert verwendet werden. Keinesfalls darf der Link auf eine externe Seite hierbei die Session-ID enthalten. Ist die Liste der Weiterleitungs-URLs bekannt, darf auch nur auf diese weitergeleitet werden. Wenn möglich kann in diesen Fällen eine indizierte Liste auch serverseitig gehalten werden und die Weiterleitungs-URL dann über einen Index ermittelt werden. Eine Weiterleitung kann auch über eine dem Benutzer explizit angezeigte Webseite erfolgen, so dass der Benutzer selbst den Link vor dem aktiven Klick prüfen kann. Lokale Weiterleitungen sind daraufhin zu prüfen, dass die Ziel-URL nicht auf eine externe Seite führt. Wenn vermeidbar, sollte es dem Nutzer nicht selbst möglich sein, die Eingabe der Weiterleitungs-URL vorzunehmen. Ist es nicht vermeidbar, dass ein Nutzer selbst die Weiterleitungs-URL eingeben darf, muss diese umfassend daraufhin geprüft werden, dass sie gültig, zur Web-Anwendung passend und für den Nutzer zulässig ist. Wenn implementiert soll bevorzugt auf Whitelisting von erlaubten Adressen gesetzt werden und nicht auf Blacklisting. | ||
]] | |||
== Lösungsansätze == | == Lösungsansätze == | ||
== Weblinks == | |||
== Ressourcen und Einzelnachweise == | |||
[[Category:EXAMINE]] | |||
[[Category: Source]] | |||
Aktuelle Version vom 26. Juli 2024, 18:01 Uhr
Beschreibung
Nutzt die Web-Anwendung URL-Weiterleitungen (URL-Redirects), MUSS diese kontrolliert erfolgen.
Kurzfassung
Kontrollierte Verwendung von URL-Weiterleitungen.
Testcharakteristik
Prüftiefe
| Bezeichnung | Mindestanforderungen an die Prüfung |
|---|---|
| EXAMINE | Der Evaluator untersucht (englisch „examine“, analog zu Begriffsverwendung in der Common Criteria Evaluation Methodology) die betreffende Testcharakteristik. Der Evaluator MUSS in seiner Prüfung über die Mindestanforderungen für „CHECK“ hinausgehen: In der Regel wird dies durch umfassende Quelltextanalyse der relevanten Implementierungsanteile und Penetrationstests geschehen. Die Unterstützung durch den Hersteller kann genutzt werden. „EXAMINE“ erfordert in jedem Fall eine eigenständige Beurteilung durch den Evaluator. |
Ergänzende Informationen für Evaluatoren
Der Evaluator stellt sicher, dass URL-Weiterleitungen kontrolliert verwendet werden. Keinesfalls darf der Link auf eine externe Seite hierbei die Session-ID enthalten. Ist die Liste der Weiterleitungs-URLs bekannt, darf auch nur auf diese weitergeleitet werden. Wenn möglich kann in diesen Fällen eine indizierte Liste auch serverseitig gehalten werden und die Weiterleitungs-URL dann über einen Index ermittelt werden. Eine Weiterleitung kann auch über eine dem Benutzer explizit angezeigte Webseite erfolgen, so dass der Benutzer selbst den Link vor dem aktiven Klick prüfen kann. Lokale Weiterleitungen sind daraufhin zu prüfen, dass die Ziel-URL nicht auf eine externe Seite führt. Wenn vermeidbar, sollte es dem Nutzer nicht selbst möglich sein, die Eingabe der Weiterleitungs-URL vorzunehmen. Ist es nicht vermeidbar, dass ein Nutzer selbst die Weiterleitungs-URL eingeben darf, muss diese umfassend daraufhin geprüft werden, dass sie gültig, zur Web-Anwendung passend und für den Nutzer zulässig ist. Wenn implementiert soll bevorzugt auf Whitelisting von erlaubten Adressen gesetzt werden und nicht auf Blacklisting.