:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Web Application Security in der Praxis, Teil 2 Schutz vor Cross-Site Scripting sowie Local and Remote File Inclusion
Neben der SQL Injection haben sich Cross-Site Scripting, Cross-Site Request Forgery sowie Local und Remote File Inclusion bei Angriffen auf Webapplikationen bewährt. Der folgende Artikel beschreibt diese verheerenden Attacken und enthält detaillierte Beispiele, die sowohl ihre Funktionsweise als auch Hintergründe verdeutlichen sollen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Wie der Name es schon vermuten lässt, handelt es sich bei Cross-Site Scripting (XSS) um den Umgang mit Skripten. Bei einer XSS-Attacke werden „fremde“ bzw. „gefährliche“ Skripte ausgeführt.
Das vermutlich bekannteste dieser Skripte liest das aktuelle Session Cookie eines angemeldeten Nutzers aus. Der Angreifer erlangt dadurch die Rechte der Benutzers und kann sich nun auf der Webseite bewegen. Diese Vorgehensweise wird Session Hijacking genannt.
Doch wie genau kann es zu einer XSS-Lücke kommen? Gehen wir zur Erläuterung von einer Webseite mit Suchfunktion aus. Nach der Suche nach einem beliebigen Begriff (zum Beispiel „Security-Insider“) wird der Anwender über das Suchergebnis informiert.
Die Ausgabe könnte zum Beispiel wie folgt lauten: „Ihre Suche nach Security-Insider ergab 3 Treffer“. Ist die Webseite nun so programmiert worden, dass sie die Ausgabe nicht nach Skriptbefehlen filtert, so werden alle Benutzereingaben interpretiert ausgegeben.
Um dies anschaulich zu erklären, folgt nun ein Sourcecode-Beispiel für eine PHP-Seite:
Dieser Sourcecode muss nun als example.php gespeichert werden. Er kann nun Lokal oder auf einem Webserver zum Testen ausgeführt werden.
Inhalt
- Seite 1: Wie kommt es zu XSS-Schwachstellen?
- Seite 2: Was passiert auf dem Server?
- Seite 3: Local und Remote File Inclusions
- Seite 4: Cross Site Request Forgery
Was passiert auf dem Server?
Die example.php gibt nach dem Aufruf das aus, was der URL über den GET-Parameter übergeben wird. Eine mögliche GET-Übergabe des Strings „Search-Security“ würde wie folgt geschehen:
http://localhost/example.php?string=Search-Security
Wird diese URL mit Enter aufgerufen, so gibt sie den Text „Search-Security“ aus. Als nächstes übergeben wir nun Java-Skriptcode anstelle eines einfachen Text-Strings:
http://localhost/example.php?string=
Erscheint beim Aufruf dieser URL ein Popup mit dem Text „ALARM“, dann ist die PHP-Seite anfällig für eine XSS-Attacke.
Wie lässt sich diese XSS-Lücke beseitigen?
Eine Möglichkeit, die vorher beschriebene XSS-Lücke zu beseitigen, basiert auf der PHP-Funktion htmlspecialchars(). Diese Funktion wandelt Sonderzeichen in HTML-Codes um. Wendet man diese Funktion auf das vorherige Sourcecode-Beispiel an, so würde das Ergebnis wie folgt aussehen:
Ein Aufruf dieser optimierten PHP-Seite mit einem Java-Skriptcode, der per GET-Parameter übergeben wird, lässt einen möglichen XSS-Angriff ins Leere laufen: Der Aufruf von http://localhost/example.php?string=
Inhalt
- Seite 1: Wie kommt es zu XSS-Schwachstellen?
- Seite 2: Was passiert auf dem Server?
- Seite 3: Local und Remote File Inclusions
- Seite 4: Cross Site Request Forgery
Local und Remote File Inclusions
File Inclusions sind neben XSS weitere Schwachstellen in Webanwendungen, die es ermöglichen fremde Skripte oder Codes in das eigentliche Skript einzubinden. Sie entstehen durch unsaubere Programmierung. Es kann generell zwischen Local und Remote File Inclusions unterschieden.
- Local File Inclusions (LFI) ermöglichen dem Angreifer lokal gespeicherte Dateien auf dem Webserver in das eigentliche Skript einzubinden. Für einen Angreifer potentiell interessante Dateien sind unter anderem Konfigurationsdateien, Schadcode oder Dateien die sensible Informationen enthalten.
- Bei Remote File Inclusions (RFI) werden durch den Angreifer im Gegensatz zu LFI externe Skripte in das eigentliche Skript eingebunden. Dies geschieht zum Beispiel mit Hilfe von Funktionen wie include() oder require(). Im Folgenden ein kurzes Beispiel für ein verwundbares Skript für eine LFI:
Wird über den GET-Parameter Page ein Wert übergeben, so wird dieser eingebunden (http://localhost/index.php?page=user). Ist die Webanwendung verwundbar, so findet an dieser Stelle keine Überprüfung des übergebenen Parameters statt. An dieser Stelle kann nun ein Angreifer jegliche Dateien übergeben (include), wie zum Beispiel die „/etc/passwd“: http://localhost/index.php?page=../../../../../../etc/passwd
Eine Möglichkeit zur Behebung einer solchen LFI wäre die Nutzung einer Whitelist. Hierbei erstellt man ein Array mit den gewollten Seiten. Wird bei der GET-Übergabe des Page-Parameters ein vom Array abweichender String angegeben, so wird dieser durch die main.php ersetzt.
Bei einer RFI wird anstelle einer lokalen Datei eine Datei auf einem fremden Server geladen und durch das Skript ausgeführt. Ein recht oft angewandtes Beispiel ist hierbei eine sogenannte PHP-Shell. Durch dieses PHP-Skript kann der Angreifer unter anderem Shell-Befehle absetzen.
Inhalt
- Seite 1: Wie kommt es zu XSS-Schwachstellen?
- Seite 2: Was passiert auf dem Server?
- Seite 3: Local und Remote File Inclusions
- Seite 4: Cross Site Request Forgery
Cross Site Request Forgery
Beim Cross Site Request Forgery (XSRF bzw. CSRF) versendet der Anwender unwissentlich Befehle an eine Webanwendung. Hierfür schickt ein Angreifer dem Nutzer einen Link, der entsprechende Befehle enthält. Solche URLs lassen sich zum Beispiel durch URL-Shortener-Dienste (tinyurl.com, bit.ly etc.) verkürzen und werden eher vom Anwender angeklickt.
Im folgenden Beispiel würde das Anklicken des besagten Links einen neuen Anwender in der Webanwendung Beispiel.de erstellen:
http://www.beispiel.de/user.php?action=new_user&name=badboy&password=geheim
Fazit
Es ist festzuhalten, dass obwohl diese beschriebenen Schwachstellen seit langem Bekannt sind, diese jedoch noch recht oft vorkommen. Hierbei reichen zumeist einfachste Mechanismen um schon bei der Entwicklung der Webanwendungen dafür zu sorgen, dass es nicht zu solchen Schwachstellen kommt.
Inhalt
- Seite 1: Wie kommt es zu XSS-Schwachstellen?
- Seite 2: Was passiert auf dem Server?
- Seite 3: Local und Remote File Inclusions
- Seite 4: Cross Site Request Forgery
(ID:2049815)
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913841/original.jpg "Im „2021 Software Vulnerability Snapshot“ geht Synopsys auf die Schwachstellen ein, die mithilfe verschiedener Testmethoden bei Kunden gefunden wurden. (Synopsys)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923698/original.jpg "Berichte von IT-Sicherheitsbehörden wie ENISA liefern Beispiele für schwerwiegende Security-Vorfälle und Bedrohungen, die in Kundengesprächen den Security-Bedarf unterstreichen können. (Thomas - stock.adobe.com)")