nach oben

Erschienen in:

2018 | OriginalPaper | Buchkapitel

2. Bedrohungen für Webanwendungen

verfasst von : Matthias Rohr

Erschienen in: Sicherheit von Webanwendungen in der Praxis

Verlag: Springer Fachmedien Wiesbaden

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

In diesem Kapitel werden zentrale Angriffe und Schwachstellen für Webanwendungen erläutert, deren Verständnis die Grundlage für die anschließende Diskussion von Maßnahmen darstellt.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Einleitung

Nächstes Kapitel Technische Sicherheitsmaßnahmen

Siehe http://de.wikipedia.org/wiki/Spaghetticode.

Ein Angriffsvektor (oder einfach „Vektor“) beschreibt einen konkreten technischen Weg, über den ein Angriff durchgeführt wird. Im Fall der Ermittlung einer Session-ID besteht ein Angriffsvektor etwa in der Ausnutzung einer Cross-Site-Scripting-Schwachstelle, ein anderer im Auslesen der ID aus einer Logdatei.

Siehe Erklärung in Abschn. 5.1.4.

Siehe http://www.bindshell.net/tools/beef.html.

Näheres hierzu findet sich auf der entsprechenden Wikipedia-Seite: http://en.wikipedia.org/wiki/Samy_(computer_worm).

Weiterhin (jedoch weitaus seltener) kann auch die dynamische Evaluierung von Skriptcode (mittels eval()-Aufruf) eine XSS-Schwachstelle erzeugen.

Allerdings hat die Verwendung einer Content Security Policy (CSP) auch große Auswirkungen auf die Gestaltung der Webseite und ist daher in der Regel nur bei Neuentwicklungen umsetzbar.

In erster Linie, da CSRF-Angriffe auch gegen nicht angemeldete Benutzer möglich sind. So waren etwa vor einigen Jahren viele DSL-Router mit Standard-Passwörtern ausgestattet. Da zusätzlich die Authentifizierung dort mittels HTTP-Basic erfolgte, konnten Angreifer diese Router häufig darüber angreifen, dass sie Anwendern entsprechende URLs untergeschoben hatten (z. B. http://admin:geheim@192.168.1.1/reset).

Das Risiko wird hier zumindest dadurch etwas reduziert, dass Referer von den meisten Browsern nur bei übereinstimmenden Schemas übertragen werden. Ist ein Benutzer somit etwa per HTTPS angemeldet und klickt auf einen HTTP-Link, so wird üblicherweise kein Referer an den entsprechenden HTTP Request angehängt.

In der Praxis braucht ein Angreifer nicht seine eigene Webseite zu verwenden, sondern kann einen völlig anonym verwendbaren Internetdienst nutzen, bei dem sich über einen einzigen URL-Aufruf Daten in eine bereitgestellte Online-Tabelle schreiben und von dort später vom Angreifer abrufen lassen.

Das „Spoofen“ bezieht sich hierbei auf das Fälschen der Identität des Verfassers der Seiteninhalte.

Mittels CSS-Anweisung „visibility: hidden“ bzw. „opacity: 0.0“.

In der Praxis werden viele solcher Drive-by-Infektionen neben dem Einsatz von maliziösem JavaScript auch mit untergeschobenen Installationsprogrammen durchgeführt. Häufige Beispiele sind hier vermeintliche Videoplayer oder Updates des Virenscanners, die ahnungslose Benutzer herunterladen und starten.

Anfang 2013 wurde ein solcher Angriff gegen Wordpress-Systeme bekannt, bei dem ein Bot-Netzwerk aus geschätzten 100.000 Systemen verwendet wurde.

Anders als PHP, Java oder .NET sind C und C++ native Programmiersprachen mit Zeigerarithmetik, mit der (auch aufgrund der Performance des mit ihr implementierten Codes) immer noch zahlreiche Bibliotheken sowie Basis- und Systemkomponenten implementiert sind und welche häufig indirekt über Webprogrammiersprachen aufgerufen werden. Eingesetzt werden diese auch bei modernen Anwendungen nicht zuletzt aus Performancegründen.

Manchmal werden in diesem Zusammenhang auch die beiden englischen Begriffe „Information Leakage“ oder „Information Exposure“ verwendet.

The WASC threat classification v2.0, the Web Application Security Consortium. http://projects.webappsec.org/w/page/13246978/Threat%20Classification. Zugegriffen am 14.2.2017

US-CERT statistics. http://www.cert.org/stats. Zugegriffen am 20.12.2013

Gara T (2013) Exclusive: Eric Schmidt unloads on China in new book. http://blogs.wsj.com/corporate-intelligence/2013/02/01/exclusive-eric-schmidt-unloads-on-china-in-new-book/. Zugegriffen am 15.2.2017

Fowler M. CodeSmell. http://martinfowler.com. Zugegriffen am 10.06.2017

OWASP Foundation. https://www.owasp.org/index.php/Blind_SQL_Injection. Zugegriffen am 20.12.2013

Litchfield D, Anley C, Heasman J, Grindlay B (2005) The database Hacker’s handbook: defending database servers. Wiley, Hoboken

Wikipedia. Same-origin policy. http://de.wikipedia.org/wiki/Same-Origin Policy

XSS filter evasion cheat sheet, OWASP. https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet. Zugegriffen am 20.9.2017

Watkins P (2001) Cross-site request forgeries (Re: the dangers of allowing users to post images). Bugtraq. Zugegriffen am 26.06.2012

10.

Grossman J (2006) CSRF, the sleeping giant. http://jeremiahgrossman.blogspot.de/2006/09/csrf-sleeping-giant.html. Zugegriffen am 14.01.2014

11.

Hard N. The confused, deputy problem. http://wiki.c2.com/?ConfusedDeputyProblem. Zugegriffen am 14.5.2015

12.

Endler D (2001) Brute force exploitation of web application session-IDs. http://www.cgisecurity.com/lib/SessionIDs.pdf

13.

Grossman J (2008) Clickjacking: web pages can see and hear you. http://jeremiahgrossman.blogspot.de/2008/10/clickjacking-web-pages-can-see-and-hear.html. Zugegriffen am 24.1.2015

14.

Spiegel Online. Hackerangriff: Werbung auf Yahoo-Seiten verbreitete Schadsoftware, 6. Januar 2014. http://www.spiegel.de/netzwelt/web/werbung-auf-yahoo-seiten-verbreitete-schadsoftware-a-941913.html. Zugegriffen am 06.01.2014

15.

Symantec Corporation (2012) Symantec threat report 2012. http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_2011_21239364.en-us.pdf

16.

HPI-Wissenschaftler ermitteln die zehn meistgenutzten deutschsprachigen Passwörter. https://hpi.de/news/jahrgaenge/2016/hpi-wissenschaftler-ermitteln-die-zehn-meistgenutzten-deutschsprachigen-passwoerter.html. Zugegriffen am 04.08.2017

17.

Verizon (2012) 2012 Data breach investigations report. http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

18.

Verizon data breach report 2017. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017

Titel: Bedrohungen für Webanwendungen
verfasst von: Matthias Rohr
Verlag: Springer Fachmedien Wiesbaden
Buch: Sicherheit von Webanwendungen in der Praxis
Print ISBN: 978-3-658-20144-9

Electronic ISBN: 978-3-658-20145-6

Copyright-Jahr: 2018
DOI: https://doi.org/10.1007/978-3-658-20145-6_2

Springer Professional

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"