CWE ID: 1385
Name: Missing Origin Validation in WebSockets
Das Produkt verwendet einen WebSocket, jedoch wird nicht ausreichend validiert, ob die Quelle der Daten oder der Kommunikation legitim ist.
Effektivität: Unknown
Beschreibung: Implementieren Sie CORS-ähnliche Zugriffsbeschränkungen, indem Sie den ‘Origin’-Header während des WebSocket Handshake validieren.
Effektivität: Unknown
Beschreibung: Verwenden Sie ein randomisiertes CSRF-Token zur Validierung von Requests.
Effektivität: Unknown
Beschreibung: Nutzen Sie TLS, um eine sichere Kommunikation über ‘wss’ (WebSocket Secure) anstelle von ‘ws’ zu gewährleisten.
Effektivität: Unknown
Beschreibung: Verlangen Sie eine Benutzerauthentifizierung, bevor die WebSocket-Verbindung hergestellt wird. Beispielsweise bietet die WS-Bibliothek in Node eine ‘verifyClient’-Funktion.
Effektivität: Defense in Depth
Beschreibung: Nutzen Sie Ratenbegrenzung, um sich gegen DoS-Angriffe zu schützen. Der Einsatz des “leaky bucket” Algorithmus kann hierbei hilfreich sein.
Effektivität: Defense in Depth
Beschreibung: Verwenden Sie eine Bibliothek, die eine Beschränkung der Payload-Größe bietet. Beispielsweise beinhaltet die WS-Bibliothek für Node die Option ‘maxPayloadOption’, die konfiguriert werden kann.
Effektivität: Unknown
Beschreibung: Behandeln Sie Daten/Eingaben in beiden Richtungen als nicht vertrauenswürdig und wenden Sie die gleiche Datenbereinigung an, wie sie bei XSS, SQLi usw. eingesetzt wird.
