O.Source 9

Aus d.hack
Version vom 23. April 2024, 14:56 Uhr von 92.196.168.196 (Diskussion) (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS Maßnahmen vorsehen, die verhindern, dass Funktionalitäten, die nicht in der Entwicklungshoheit des Herstellers liegen, in die Web-Anwendung eingeschleust und zur Ausführung gebracht werden. == Kurzfassung == Vorbeugende Maßnahmen zum Schutz von Funktionalitäten außerhalb der eigenen Entwicklungshoheit. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator stellt durch Quell…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Beschreibung

Die Web-Anwendung MUSS Maßnahmen vorsehen, die verhindern, dass Funktionalitäten, die nicht in der Entwicklungshoheit des Herstellers liegen, in die Web-Anwendung eingeschleust und zur Ausführung gebracht werden.

Kurzfassung

Vorbeugende Maßnahmen zum Schutz von Funktionalitäten außerhalb der eigenen Entwicklungshoheit.

Anmerkungen

Prüftiefe


EXAMINE

Der Evaluator stellt durch Quelltextanalyse und praktische Tests sicher, dass die Web-Anwendung dem Stand der Technik entsprechende Maßnahmen ergreift, um ein ausführen von injizierten Funktionalitäten zu verhindern. Beispielsweise kann die Web-Anwendung als Gegenmaßnahme gegen Cross-Site-Request-Forgery (CSRF) Angriffe einen SessionCode (auch Synchronizer Token Pattern (STP) oder CSRF-Token) in jede URL als weiteren zufälligen (d.h. nicht erratbaren) Parameter in einem HiddenField einfügen. Auf Basis des SessionCodes kann das Hintergrundsystem die Gültigkeit der Anfrage zusätzlich prüfen.

Lösungsansätze

Abgerufen von „https://dhack.labs.inf.fh-dortmund.de//index.php?title=O.Source_9&oldid=62