Session ID in URL rewrite

Was ist Session ID in URL rewrite?

Bei dem Session ID in URL rewrite verwendet die Webanwendung die GET-Methode zur Verarbeitung von Anfragen, die vertrauliche Informationen enthalten. Diese Informationen können durch den Verlauf des Browsers, ĂŒber Referrer, Webprotokolle und andere Quellen verfĂŒgbar gemacht werden.

Beschreibung

Sitzungen können mit zwei zugrunde liegenden Mechanismen implementiert werden – Cookies und URL-Umschreiben. Beim Umschreiben von URLs wird eine Sitzungs-ID in die URL eingefĂŒgt.

Laut OWASP birgt das Umschreiben von URLs erhebliche Sicherheitsrisiken. Die allgemeine Idee ist, dass die Sitzungs-ID in der URL angezeigt wird und von Dritten leicht gesehen werden kann:

Endnutzer kopieren und fĂŒgen solche Links hĂ€ufig ein, ohne zu wissen, dass die angefĂŒgte Sitzungs-ID ihre Sicherheit gefĂ€hrdet
Server-Protokolldateien zeichnen normalerweise den ‘Referrer’-Header auf, der Sitzungs-IDs im Protokoll aufzeichnet
Dieser Scanner sucht nach der Existenz von Sitzungs-Token-Typ-Parametern, die in die URL umgeschrieben wurden. Um flachen Meldungen vorzubeugen, ĂŒberprĂŒft der Scanner die LĂ€nge der Token-Werte. Wenn der Wert des Parameters 8 Zeichen nicht ĂŒberschreitet, dann wird der Parameter ignoriert (z.B.: survey?sld=5 wĂŒrde nicht als gefĂ€hrdet gekennzeichnet werden).

Haben Dritte Zugriff auf Sitzungs-IDs, bedeutet dies, dass private Benutzerinformationen fĂŒr Angriffe weit offen sind. URL Rewrite gilt als eine gefĂ€hrliche Praxis und sollte vermieden werden. Werden stattdessen Cookies verwendet, wird die Sitzungs-ID nicht in der URL angezeigt.

Tipp

ÜberprĂŒfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Wenn sensible Informationen gesendet werden, wird die Verwendung der POST-Methode empfohlen (z. B. Anmeldeformular).

Optionen zum Verwalten des URL Rewrite sind:

  • Auf Serverebene deaktivieren
  • Deaktivierung auf Anwendungsebene. Eine attraktive Option ist ein Servlet-Filter. Der Filter umschließt das Antwortobjekt mit einer alternativen Version, wodurch response.encodeURL (String) und verwandte Methoden in “no-operations” geĂ€ndert werden. (Das WEB4J-Tool enthĂ€lt einen solchen Filter.)
  • FĂŒr öffentliche Websites muss entscheiden werden, ob es in jedem Fall akzeptabel ist, dass Browser Cookies aktiviert lassen mĂŒssen.
    Andere Informationen

HĂ€ufig werden Website Cookies von Benutzern deaktiviert, um ihre PrivatsphĂ€re zu schĂŒtzen. In Anbetracht der Ernsthaftigkeit des Sicherheitsproblems, kann das Deaktivieren von Cookies fĂŒr den Datenschutz der Nutzer in der Tat viel schlimmer sein. Das Risiko der GefĂ€hrdung persönlicher Daten durch Session-Hijacking scheint die Bedenken hinsichtlich der Verfolgung persönlicher Browsing-Verlauf bei weitem zu ĂŒberwiegen.

Allgemeiner Schwachstellen-Datenbanklink

https://cwe.mitre.org/data/definitions/598.html

https://cwe.mitre.org/data/definitions/200.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte