Suchen

Die Webanwendung als Sicherheitsrisiko – Teil 1

Wie Cross Site Scripting und Local File Inclusion funktionieren

Seite: 2/3

Firma zum Thema

Die zwei Arten des Cross Site Scripting

Beim Cross Site Scripting unterscheidet man primär zwischen den beiden Typen Reflected und Persistent XSS, welche sich technisch gesehen nur unwesentlich unterscheiden.

Im Falle der reflektierten Code-Ausführung muss der Angreifer eine Person mit möglichst hohen Rechten dazu bewegen einen manipulierten Link aufzurufen, der den nötigen Scriptcode etwa innerhalb der URL enthält. Entsprechende Links können beispielsweise über E-Mails oder Foren-Beiträge verbreitet werden. Am häufigsten zielt eine solche Attacke auf die Suchfunktionen von Webapplikationen ab, die das Ergebnis der vom Nutzer ausgeführten Suche nicht richtig filtern.

Persistentes XSS stellt immer dann eine potentielle Gefahr dar, wenn der Nutzer einer Webapplikation den Inhalt selbst verändern darf. Dies ist etwa bei Gästebüchern oder Kommentaren gegeben. Kann ein Angreifer mit geringen Rechten Scriptcode in ein Kommentarfeld einfügen, so wird dieser Code von jeder Person ausgeführt, die anschließend diese Seite besucht.

Stattdessen könnte ebenso normaler HTML-Code benutzt werden, um etwa ein Inner Frame (IFrame) zu platzieren, welches eine Anmeldemaske vortäuscht.

Kontrolle übernehmen dank Cross Site Request Forgery

Ähnlich dem zuvor beschriebenen Angriff funktioniert das so genannte Cross Site Request Forgery, kurz CSRF oder XSRF. Ziel ist es den Nutzer zum unwissentlichen Ausführen von Kommandos auf der Webanwendung zu bewegen. Solche Fehler finden sich vergleichsweise oft auf den Web-Schnittstellen von Routern.

Über Parameter in der URL ist es beispielsweise möglich, sicherheitsrelevante Einstellungen wie etwa das Passwort eines Nutzers oder bei Routern den zu verwendenden DNS–Server zu verändern. Hierfür muss der Angreifer einen Mitarbeiter mit genügend Rechten dazu bewegen, einem unbekannten oder maskierten Link in einer E-Mail zu folgen und so die Einstellungen unbewusst nach Wünschen des Absenders zu verändern.

Seite 3: Daten mithilfe von Local File Inclusions ausspähen

Artikelfiles und Artikellinks

(ID:2019217)