Web Application Security in der Praxis, Teil 2

Schutz vor Cross-Site Scripting sowie Local and Remote File Inclusion

18.02.2011 | Autor / Redakteur: Martin Dombrowski / Stephan Augsten

GET-Parameterübergabe des Strings ‚<script>alert(„Alarm“)</script>‘. Es öffnet sich nun ein Popup mit der Meldung „Alarm“. Dies beweist die Existenz der XSS-Schwachstelle.
GET-Parameterübergabe des Strings ‚<script>alert(„Alarm“)</script>‘. Es öffnet sich nun ein Popup mit der Meldung „Alarm“. Dies beweist die Existenz der XSS-Schwachstelle.

Cross Site Request Forgery

Beim Cross Site Request Forgery (XSRF bzw. CSRF) versendet der Anwender unwissentlich Befehle an eine Webanwendung. Hierfür schickt ein Angreifer dem Nutzer einen Link, der entsprechende Befehle enthält. Solche URLs lassen sich zum Beispiel durch URL-Shortener-Dienste (tinyurl.com, bit.ly etc.) verkürzen und werden eher vom Anwender angeklickt.

Im folgenden Beispiel würde das Anklicken des besagten Links einen neuen Anwender in der Webanwendung Beispiel.de erstellen:

http://www.beispiel.de/user.php?action=new_user&name=badboy&password=geheim

Fazit

Es ist festzuhalten, dass obwohl diese beschriebenen Schwachstellen seit langem Bekannt sind, diese jedoch noch recht oft vorkommen. Hierbei reichen zumeist einfachste Mechanismen um schon bei der Entwicklung der Webanwendungen dafür zu sorgen, dass es nicht zu solchen Schwachstellen kommt.

Inhalt

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2049815 / Mobile- und Web-Apps)