• CWE-564: SQL Injection: Hibernate

Die Ausführung dynamischer SQL-Statements, die mit benutzerkontrollierten Eingaben erstellt wurden, mithilfe von Hibernate, kann es einem Angreifer ermöglichen, die Bedeutung des Statements zu verändern oder beliebige SQL-Befehle auszuführen.

CWE-564: SQL Injection: Hibernate

CWE ID: 564
Name: SQL Injection: Hibernate

Beschreibung

Die Ausführung dynamischer SQL-Statements, die mit benutzerkontrollierten Eingaben erstellt wurden, mithilfe von Hibernate, kann es einem Angreifer ermöglichen, die Bedeutung des Statements zu verändern oder beliebige SQL-Befehle auszuführen.

Risikominderungsmaßnahmen

Maßnahme (Requirements)

Effektivität: Unknown
Beschreibung: Eine NoSQL-Datenbank, die nicht diesem Schwachpunkt unterliegt, kann gewählt werden.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Beachten Sie beim Erstellen von Benutzerkonten für eine SQL-Datenbank das Prinzip der geringsten Privilegien. Benutzer sollten lediglich die minimal notwendigen Berechtigungen besitzen, um ihr Konto nutzen zu können. Sollte das System erfordern, dass ein Benutzer seine eigenen Daten lesen und modifizieren kann, beschränken Sie seine Berechtigungen so, dass er keine Daten anderer lesen oder schreiben kann.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Stellen Sie bei allen Sicherheitsprüfungen, die clientseitig durchgeführt werden, sicher, dass diese auch serverseitig dupliziert werden, um CWE-602 zu vermeiden. Angreifer können clientseitige Prüfungen umgehen, indem sie Werte nach der Durchführung der Prüfungen modifizieren oder den Client so verändern, dass die clientseitigen Checks vollständig entfernt werden. Anschließend würden diese modifizierten Werte an den Server übermittelt.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Implementieren Sie SQL-Strings unter Verwendung von Prepared Statements mit gebundenen Variablen. Prepared Statements, die keine Variablen binden, können anfällig für Angriffe sein.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Nutzen Sie eine strenge, allowlist-basierte Validierung für jede Benutzer-Eingabe, die in einem SQL-Befehl verwendet werden könnte. Anstatt Meta-Zeichen zu escapen, ist es sicherer, diese vollständig zu verbieten. Grund: Eine spätere Verwendung von Daten, die in der Datenbank gespeichert wurden, könnte die Notwendigkeit des escaping von Meta-Zeichen vernachlässigen. Definieren Sie den Satz sicherer Zeichen eng, basierend auf dem erwarteten Wert des Parameters in der Anfrage.