Suchen

Web Application Security in der Praxis, Teil 2

Schutz vor Cross-Site Scripting sowie Local and Remote File Inclusion

Seite: 4/4

Firmen zum Thema

Cross Site Request Forgery

Beim Cross Site Request Forgery (XSRF bzw. CSRF) versendet der Anwender unwissentlich Befehle an eine Webanwendung. Hierfür schickt ein Angreifer dem Nutzer einen Link, der entsprechende Befehle enthält. Solche URLs lassen sich zum Beispiel durch URL-Shortener-Dienste (tinyurl.com, bit.ly etc.) verkürzen und werden eher vom Anwender angeklickt.

Im folgenden Beispiel würde das Anklicken des besagten Links einen neuen Anwender in der Webanwendung Beispiel.de erstellen:

http://www.beispiel.de/user.php?action=new_user&name=badboy&password=geheim

Fazit

Es ist festzuhalten, dass obwohl diese beschriebenen Schwachstellen seit langem Bekannt sind, diese jedoch noch recht oft vorkommen. Hierbei reichen zumeist einfachste Mechanismen um schon bei der Entwicklung der Webanwendungen dafür zu sorgen, dass es nicht zu solchen Schwachstellen kommt.

Inhalt

  • Seite 1: Wie kommt es zu XSS-Schwachstellen?
  • Seite 2: Was passiert auf dem Server?
  • Seite 3: Local und Remote File Inclusions
  • Seite 4: Cross Site Request Forgery

(ID:2049815)