• CWE-6: J2EE Misconfiguration: Insufficient Session-ID Length

Die J2EE-Anwendung ist so konfiguriert, dass eine unzureichende Session ID-Länge verwendet wird. Dies stellt ein potenzielles Risiko für die Sicherheit der Anwendung dar.

CWE-6: J2EE Misconfiguration: Insufficient Session-ID Length

CWE ID: 6
Name: J2EE Misconfiguration: Insufficient Session-ID Length

Beschreibung

Die J2EE-Anwendung ist so konfiguriert, dass eine unzureichende Session ID-Länge verwendet wird. Dies stellt ein potenzielles Risiko für die Sicherheit der Anwendung dar.

Erweiterte Beschreibung

Sollte ein Angreifer eine Session ID erraten oder stehlen können, könnte er die Sitzung des Benutzers übernehmen (bekannt als session hijacking). Die Anzahl der möglichen Session IDs steigt mit zunehmender Session ID-Länge, was es schwieriger macht, eine Session ID zu erraten oder zu stehlen. Ein angemessener Session ID-Algorithmus und eine ausreichende Länge sind daher entscheidend für die Minimierung dieses Risikos.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Session identifiers sollten mindestens 128 Bit lang sein, um brute-force-Versuche zur Erraten der Sitzung zu verhindern. Ein kürzerer session identifier setzt die Anwendung einem Angriff durch brute-force-Erraten der Sitzung aus. Es ist wichtig, die Länge der session identifier entsprechend zu dimensionieren, um die Widerstandsfähigkeit gegen solche Angriffe zu gewährleisten.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eine untere Grenze für die Anzahl der gültigen session identifiers, die erraten werden können, entspricht der Anzahl der Benutzer, die zu einem bestimmten Zeitpunkt auf einer Website aktiv sind. Jegliche Benutzer, die ihre Sitzungen ohne Abmeldung beenden, erhöhen diese Zahl jedoch. (Dies ist einer von vielen guten Gründen für ein kurzes inaktives Sitzungs-timeout). Bei einem 64-Bit-session identifier, der 32 Bit Entropie bietet, kann ein Angreifer bei einer großen Webseite 1.000 Vermutungen pro Sekunde durchführen und es gibt 10.000 gültige session identifiers, die erraten werden können. Unter diesen Annahmen beträgt die erwartete Zeit für einen Angreifer, einen gültigen session identifier erfolgreich zu erraten, weniger als 4 Minuten. Nehmen wir nun einen 128-Bit-session identifier an, der 64 Bit Entropie bietet. Bei einer sehr großen Webseite könnte ein Angreifer 10.000 Vermutungen pro Sekunde durchführen, wobei 100.000 gültige session identifiers zum Erraten verfügbar sind. Unter diesen Annahmen beträgt die erwartete Zeit für einen Angreifer, einen gültigen session identifier erfolgreich zu erraten, mehr als 292 Jahre.