O.Source 8
Beschreibung
Nutzt die Web-Anwendung URL-Weiterleitungen (URL-Redirects), MUSS diese kontrolliert erfolgen.
Kurzfassung
Kontrollierte Verwendung von URL-Weiterleitungen.
Anmerkungen
Prüftiefe
- EXAMINE
Der Evaluator stellt sicher, dass URL-Weiterleitungen kontrolliert verwendet werden. Keinesfalls darf der Link auf eine externe Seite hierbei die Session-ID enthalten. Ist die Liste der Weiterleitungs-URLs bekannt, darf auch nur auf diese weitergeleitet werden. Wenn möglich kann in diesen Fällen eine indizierte Liste auch serverseitig gehalten werden und die Weiterleitungs-URL dann über einen Index ermittelt werden. Eine Weiterleitung kann auch über eine dem Benutzer explizit angezeigte Webseite erfolgen, so dass der Benutzer selbst den Link vor dem aktiven Klick prüfen kann. Lokale Weiterleitungen sind daraufhin zu prüfen, dass die Ziel-URL nicht auf eine externe Seite führt. Wenn vermeidbar, sollte es dem Nutzer nicht selbst möglich sein, die Eingabe der Weiterleitungs-URL vorzunehmen. Ist es nicht vermeidbar, dass ein Nutzer selbst die Weiterleitungs-URL eingeben darf, muss diese umfassend daraufhin geprüft werden, dass sie gültig, zur Web-Anwendung passend und für den Nutzer zulässig ist. Wenn implementiert soll bevorzugt auf Whitelisting von erlaubten Adressen gesetzt werden und nicht auf Blacklisting.