Die Webanwendung als Sicherheitsrisiko – Teil 1

Wie Cross Site Scripting und Local File Inclusion funktionieren

04.02.2009 | Autor / Redakteur: Marcell Dietl / Peter Schmitz

Viele Webanwendungen sind anfällig für indirekte Angriffe wie Cross Site Scripting.
Viele Webanwendungen sind anfällig für indirekte Angriffe wie Cross Site Scripting.

Webanwendungen sind aus den Unternehmen gar nicht mehr wegzudenken, denn Mitarbeiter sowie Kunden können weltweit darauf zugreifen. Doch sie machen es potentiellen Angreifern gleichermaßen einfacher sensible Unternehmensdaten auszuspähen. In dieser dreiteiligen Artikelreihe von Security-Insider.de betrachten wir die häufigsten Gefahren von Web-Applikationen und zeigen mögliche Sicherheitsmaßnahmen auf.

Im Laufe der Jahre hat sich das Internet zu einem fundamentalen Bestandteil des wirtschaftlichen Lebens entwickelt. Dank sinkender Preise und stetig steigender Geschwindigkeiten bei der Datenübertragung werden immer mehr Geschäftsprozesse auf Webanwendungen ausgelagert.

Dadurch wird es für potentielle Angreifer jedoch gleichermaßen einfacher, unerlaubt auf sensible Unternehmensdaten zuzugreifen. Sei es um diese zu verkaufen oder um einen Wettbewerbsvorteil zu erlangen.

In vielen Statistiken zu den verschiedenen Schwachstellen in Webanwendungen taucht eine mögliche Angriffsform immer wieder an oberster Stelle auf: das Cross Site Scripting (XSS). Dabei führt der Angreifer einen Scriptcode, am häufigsten JavaScript, im Kontext einer Webanwendung aus.

Da JavaScript browserseitig interpretiert wird, erlaubt ein solcher Fehler zum Beispiel das Session Cookie eines angemeldeten Nutzers auszulesen. Mit dessen Rechten kann sich der Angreifer anschließend auf der Webseite bewegen (Session Hijacking).

Seite 2: Die zwei Arten des Cross Site Scripting

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2019217 / Mobile- und Web-Apps)