O.Source 9
Beschreibung
Die Web-Anwendung MUSS Maßnahmen vorsehen, die verhindern, dass Funktionalitäten, die nicht in der Entwicklungshoheit des Herstellers liegen, in die Web-Anwendung eingeschleust und zur Ausführung gebracht werden.
Kurzfassung
Vorbeugende Maßnahmen zum Schutz von Funktionalitäten außerhalb der eigenen Entwicklungshoheit.
Anmerkungen
Prüftiefe
- EXAMINE
Der Evaluator stellt durch Quelltextanalyse und praktische Tests sicher, dass die Web-Anwendung dem Stand der Technik entsprechende Maßnahmen ergreift, um ein ausführen von injizierten Funktionalitäten zu verhindern. Beispielsweise kann die Web-Anwendung als Gegenmaßnahme gegen Cross-Site-Request-Forgery (CSRF) Angriffe einen SessionCode (auch Synchronizer Token Pattern (STP) oder CSRF-Token) in jede URL als weiteren zufälligen (d.h. nicht erratbaren) Parameter in einem HiddenField einfügen. Auf Basis des SessionCodes kann das Hintergrundsystem die Gültigkeit der Anfrage zusätzlich prüfen.