HS-Esslingen/swb6-it-sec
Archived
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

add delete problem, fix spelling

Browse source
This commit is contained in:
Florian Hoss 2022-04-09 14:47:06 +02:00
parent 87ad80e2f6
commit 813f730119
4 changed files with 21 additions and 9 deletions
Download patch file Download diff file Expand all files Collapse all files

15
Lab01/documentation/app/app.tex
View file

@ -103,7 +103,7 @@ CVSS Score (Abschnitt \ref{cvss-score}) : \textbf{6.5}
\subsubsection{Beschreibung der Schwachstellen}
Es kann in der App nach Aufgaben gesucht werden (Abbildung \ref{fig:Suchen im Frontend}). Der eingegebene Filter wird dazu an das Backend geschickt und als Antwort kommt eine liste an Aufgaben zurück (Abbildung \ref{fig:Suchen im Backend}). Die eigentliche Suchfunktion wird hierbei von Backend übernommen.
Es kann in der App nach Aufgaben gesucht werden (Abbildung \ref{fig:Suchen im Frontend}). Der eingegebene Filter wird dazu an das Backend geschickt und als Antwort kommt eine Liste an Aufgaben zurück (Abbildung \ref{fig:Suchen im Backend}). Die eigentliche Suchfunktion wird hierbei vom Backend übernommen.
\begin{figure}[H]
\begin{center}
@ -174,6 +174,8 @@ Es gibt einen API Endpunkt in dem das Benutzerpassword ohne Authentifizierung ge
Das Password wird außerdem im Plaintext in der Datenbank gespeichert und kann von jedem mit Datenbank-Zugriff ausgelesen werden.
Außerdem kann über den DELETE Endpunkt von jedem Benutzer jegliche Aufgabe über die eingabe der ID gelöscht werden (Abblidung). Darunter zählen auch Aufgaben, die nicht selber erstellt wurden.
\begin{figure}[H]
\begin{center}
\includegraphics[width=0.8\textwidth]{app/app-12}
@ -188,6 +190,13 @@ Das Password wird außerdem im Plaintext in der Datenbank gespeichert und kann v
\label{fig:Datenbank}
\end{center}
\end{figure}
\begin{figure}[H]
\begin{center}
\includegraphics[width=0.5\textwidth]{app/app-15}
\caption{DELETE}
\label{fig:DELETE}
\end{center}
\end{figure}
\subsubsection{Schwachstelle ausbessern}
@ -197,6 +206,10 @@ Passwortänderungen müssen mit einer eindeutigen Verifizierung über das aktuel
Das Abspeichern der Passwörter darf nur verschlüsselt erfolgen. Zum Beispiel werden im Django Framework\footnote{\href{https://docs.djangoproject.com/en/4.0/topics/auth/passwords/}{Password management in Django}} zu fast jedem Algorithmus Lösungen angeboten.
Der DELETE Endpunkt sollte zusätzlich vor dem Löschen prüfen, wer die Aufgabe erstellt hat, und nur dem Besitzer das Löschen erlauben.
\newpage
\subsection{A7:2017 - Cross-Site Scripting (XSS)}
CVSS Score (Abschnitt \ref{cvss-score}) : \textbf{7.5}