Suchen

Die Webanwendung als Sicherheitsrisiko – Teil 1 Wie Cross Site Scripting und Local File Inclusion funktionieren

Autor / Redakteur: Marcell Dietl / Peter Schmitz

Webanwendungen sind aus den Unternehmen gar nicht mehr wegzudenken, denn Mitarbeiter sowie Kunden können weltweit darauf zugreifen. Doch sie machen es potentiellen Angreifern gleichermaßen einfacher sensible Unternehmensdaten auszuspähen. In dieser dreiteiligen Artikelreihe von Security-Insider.de betrachten wir die häufigsten Gefahren von Web-Applikationen und zeigen mögliche Sicherheitsmaßnahmen auf.

Firma zum Thema

Viele Webanwendungen sind anfällig für indirekte Angriffe wie Cross Site Scripting.
Viele Webanwendungen sind anfällig für indirekte Angriffe wie Cross Site Scripting.
( Archiv: Vogel Business Media )

Im Laufe der Jahre hat sich das Internet zu einem fundamentalen Bestandteil des wirtschaftlichen Lebens entwickelt. Dank sinkender Preise und stetig steigender Geschwindigkeiten bei der Datenübertragung werden immer mehr Geschäftsprozesse auf Webanwendungen ausgelagert.

Dadurch wird es für potentielle Angreifer jedoch gleichermaßen einfacher, unerlaubt auf sensible Unternehmensdaten zuzugreifen. Sei es um diese zu verkaufen oder um einen Wettbewerbsvorteil zu erlangen.

In vielen Statistiken zu den verschiedenen Schwachstellen in Webanwendungen taucht eine mögliche Angriffsform immer wieder an oberster Stelle auf: das Cross Site Scripting (XSS). Dabei führt der Angreifer einen Scriptcode, am häufigsten JavaScript, im Kontext einer Webanwendung aus.

Da JavaScript browserseitig interpretiert wird, erlaubt ein solcher Fehler zum Beispiel das Session Cookie eines angemeldeten Nutzers auszulesen. Mit dessen Rechten kann sich der Angreifer anschließend auf der Webseite bewegen (Session Hijacking).

Seite 2: Die zwei Arten des Cross Site Scripting

Artikelfiles und Artikellinks

(ID:2019217)