OWASP Top Ten: A2 – Fehler in Authentifizierung und Session-Management

von Dr. Martin Klein Hennig

Dieser Beitrag unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Authentifizierung und dem Session-Management.

Webapplikationen, die benutzerbezogene Dienste anbieten (z.B. Social-Media-Webseiten) sind darauf angewiesen, dass sich der Benutzer gegenüber der Webapplikation authentifiziert. Dies geschieht in den meisten Fällen per Benutzername und Passwort.

Hat sich der Benutzer einmal authentifiziert, sorgt das Session-Management dafür, dass die weitere Kommunikation mit der Webapplikation als angemeldeter Benutzer stattfindet. Dies geschieht meist über Session-IDs in der Form von Cookies, also im Browser gespeicherte Informationen, die zur Authentifizierung gegenüber der Webapplikation gespeichert werden. Dies hat den technischen Hintergrund, dass das http-Protokoll, über das Browser mit einem Webserver kommunizieren, zustandslos ist. Daher sind alle Seitenaufrufe für den Server unabhängig voneinander und stehen in keinem Zusammenhang. Mithilfe von Cookies wird der Webapplikation deshalb über mehrere Anfragen hinweg im gesamten Zeitraum der Anwendungssession vermittelt, dass man noch derselbe Benutzer ist. Als Session-ID wird typischerweise eine lange, zufällige Zeichenkette verwendet, wie z.B. b857bbd11d7d8c94f84959d1a36900ed4ca706df. Dadurch soll sichergestellt werden, dass Session-IDs eindeutig sind und nicht leicht erraten werden können.

Fehlerhaft programmierte Authentifizierungs- oder Session-Management-Mechanismen können zur Kompromittierung oder Übernahme von Benutzerkonten führen. Im Rahmen eines Webapplikationstests kommt der Überprüfung dieser Bereiche daher große Bedeutung zu ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK