Neu entdeckte Authentifizierungsfehler verdeutlichen die Gefahren jener Kodierung von Grund hinauf neu
[ad_1]
Do-it-yourself ist eine großartige Möglichkeit, Kodierung zu erlernen, gleichwohl es ist ein riskanter Weg, um komplexe Anwendungsprobleme anzugehen, die wenig Raum zu Gunsten von Fehler eröffnen, wie z. B. Authentifizierung und Verschlüsselung.
Ein neuer Schwachstellenbericht des Software-Sicherheitsunternehmens Synopsys hat dieses wiederkehrende Themenbereich jener Softwareentwicklung mit jener Offenlegung von zwei Fehlern in jener GOautodial-Callcenter-Softwaresuite verstärkt. GOautodial verfügt verbleibend eine Vielzahl von Funktionen, darunter Customer Relationship Management (CRM), eine Vielzahl von Wählfunktionen sowie Berichte und Analysen, gleichwohl die Software verfügt zweite Geige verbleibend eine Anwendungsprogrammierschnittstelle (API), die Anfragen an andere Dateien weiterleitet und Benutzer nicht zutreffend authentifiziert .
Die Schwachstelle ist – zusammen mit einem zweiten Problem mit jener Einbindung von Remote-Dateien – nicht weltbewegend, gleichwohl beiderartig sind vollwertig vermeidbar, sagt Scott Tolley, ein Sicherheits-Vertriebsingenieur unter Synopsys. Dasjenige Team, dies dies Open-Source-Softwarepaket entwickelt hat, dies von mehr denn 50.000 Benutzern verwendet wird, hätte ein vorhandenes Softwarepaket oder Produkt zur Authentifizierung verwenden können, sagt er.
“Sie können ein Webanwendungs-Framework in allen möglichen Sprachen aus dem Schrank nehmen und trivial ebendiese gut getestete vorhandene Software verwenden”, sagt Tolley. „Welcher Zähler ist, Sie können irgendetwas gut Getestetes nehmen und es zur Authentifizierung verwenden, anstatt es selbst zu schreiben, denn wenn Sie es selbst schreiben, gibt es Fehler. Und wenn Sie Software schreiben, die sich hinauf die Sicherheit auswirkt.“ des Systems, dann wirken sich ebendiese Fehler hinauf die Sicherheit des Systems aus.”
Die Risiken, die mit jener Erstellung benutzerdefinierter Versionen von sicherheitsrelevanten Softwarekomponenten verbunden sind, werden nur durch dies Durchlesen jener OWASP Top 10 Web Application Risks offensichtlich. Die verkettete Liste wurde mit Wissen zu Anwendungsschwachstellen erstellt, die von weitestgehend einem zwölf Stück Unternehmen entdeckt wurden, und listet die am häufigsten aufgetretenen und wichtigsten Sicherheitsprobleme hinauf, die Web- und Cloud-Anwendungen miteinschließen.
Dasjenige größte Risiko sind defekte Zugriffskontrollen, die wahrscheinlich die GOautodial-Schwachstelle zusammenfassen, gleichwohl dies Nr. 7-Risiko sind Identifizierungs- und Authentifizierungsfehler. Fehler unter jener Verwendung von Verschlüsselung oder fehlerhaften kryptografischen Komponenten sind dies Risiko Nr. 2.
Jedes Entwicklungsteam ohne eine große Sicherheitsorganisation hinter sollte wirklich vorhandene Komponenten zu Gunsten von Sicherheit und Authentifizierung verwenden, sagt Tolley.
Welche Probleme subsumieren sich “wirklich hinauf eine bestimmte Funktionsumfang”, sagt er. “Und [smaller development shops are] kein Microsoft oder Google, mit einem enormen Sicherheitsteam zu Gunsten von ebendiese Weise von Validierung oder Open-Source-Projekte, die die Historie und Beteiligung nach sich ziehen, um durch und durch schusssicher zu sein.”
Ein „einfacher Fehler“
Dasjenige GOautodial-Problem verwendet verdongeln benutzerdefinierten API-Router, um extern angeforderte Aktionen zu verarbeiten, die mehrfach verdongeln Benutzernamen und ein Passwort erfordern. Leider hat jener Router die Informationen nicht zutreffend validiert, sodass ein Angreifer irgendwelche Werte anstelle jener Anmeldeinformationen des Benutzers verwenden kann.
Die Schwachstelle sei ein einfacher Fehler im Source gewesen, sagt Tolley.
“Dieser Source verwendet verdongeln Benutzernamen und ein Passwort, die mit jener API-Antrag bereitgestellt werden, und fordert eine Zählung jener Menge jener Datensätze in jener Benutzerdatenbank an, zu Gunsten von die dieses Paar übereinstimmt. Die Idee ist, dass, wenn dies Ergebnis null ist, [there] ist keine Eintracht, und dies ist kein gültiger Benutzer”, sagt er. “Dasjenige Problem ist, dass die Nachfrage, die sie umgesetzt nach sich ziehen, keine einzelne Zahl wie Null oder Eins zurückgab – sie gab verdongeln einzelnen Eintragung mit einem Namen und einem numerischen Zahl zurück .”
Da es den Eintragung und nicht die Menge jener Übereinstimmungen zurückgab, war jener Vergleich immer größer denn Null und wurde von dort denn wahr imaginär – jener Benutzer existierte und war genehmigt.
Insgesamt wurde die Schwere des Fehlers damit gemildert, dass jener Angreifer schon verdongeln gewissen Zugriff hinauf dies System hatte. Die Probleme erlaubten keinen Remote-Source-Exploit, sagt Tolley. Die Schwachstellen seien nachher wie vor riskant, sagt er.
„Wenn jener Angreifer dort eingesetzt wird, wo er Zugang zu einem Callcenter-Mitwirkender erhält, sind seine Handlungsmöglichkeiten normalerweise eingeschränkt“, sagt er. “Dennoch mit jener Schwachstelle können Sie dies in Administratorrechte umwandeln.”
Schauen Sie sich überprüfte Codebibliotheken an
Entwickler sollten bekannte, gut geprüfte Codebibliotheken verwenden, betont Tolley. Wie die Schwachstellen zeigen, ist die Authentifizierung schwergewichtig richtig zu zeugen – und mit kritischen Konsequenzen, wenn sie falsch gemacht wird. Unternehmen sollten ihre Entwickler darin schulen, Authentifizierungsprobleme zu wiedererkennen und getestete und validierte Bibliotheken, Dienste oder Open-Source-Komponenten bereitzustellen.
“Es gibt verdongeln Grund, warum Authentifizierungsprobleme zu den Top 10 in Besitz sein von, von dort ist es wichtig, vorhandene gut geprüfte Bibliotheken zu Gunsten von die Authentifizierung zu verwenden”, sagt er.