Immer größere Datenmassen sicher zu speichern ist eine Herausforderung für jede IT-Infrastruktur. Schon mit Gigabit-Ethernet lassen sich aber ... (mehr)

Gute Skripte und böse Skripte

Es fing mit der Einführung von Javascript an und setzte sich mit Active X und so weiter fort, dann kam noch Ajax dazu. Heute findet man kaum noch eine Website ohne Javascript. Das Problem dabei ist, dass der Browser nicht ohne Weiteres wissen kann, ob ihm der Server "gutes" Javascript schickt, das für ein paar grafische Effekte sorgt, oder ob es sich um Code handelt, den jemand dem Server untergeschoben hat – außer der User ist sehr paranoid und hat Javascript generell abgeschaltet.

Wenn ein Angreifer es schafft, die Daten eines dynamischen Webauftritts zu verändern, kann er also genauso leicht auch Code einschleusen, der dann im Browser abläuft, wenn ein Anwender eine Seite aufruft.

XSS-Attacken sind weit verbreitet und werden eingesetzt, um Cookies auszulesen (die wiederum Authentifizierungsdaten enthalten), Tastatur- und Formulareingaben mitzuschneiden und so weiter. Alles Dinge, die möglicherweise administrativen Zugang zu einer Webanwendung verschaffen, wenn die XSS-Attacke einen privilegierten User trifft. Angreifer kombinieren Cross Site Scripting oft mit gezielten E-Mail-Angriffen, die Links zu präparierten Webseiten enthalten.

Auch eine Web Application Firewall bietet keinen absoluten Schutz vor XSS-Attacken. Meist bleiben den Crackern noch genügend Möglichkeiten, die Angriffs-Strings mit anderem Zeichen-Encoding (wie UTF-8), Leer- oder Sonderzeichen zu verschleiern.

Als weitere populäre Angriffsmethode hat sich die Cross-Site Request Forgery (CSRF) etabliert. Wenn eine Webanwendung nicht die Echtheit und Berechtigung jeder einzelnen Anfrage sicherstellt, kann man einem authentifizierten User eine gehackte Anfrage unterschieben. Damit legen Einbrecher zum Beispiel einen neuen User-Account an oder verändern die Berechtigungen eines bestehenden. Tatsächlich sind auch heute noch viele Webanwendungen gegen diese Angriffsart nicht geschützt. Zum Teil liegt es daran, dass manche Webprogrammierer selber Gegenmaßnahmen gegen CRSF erfinden, aber dabei Fehler machen.

HTTP Parameter Pollution

Bei HTTP Parameter Pollution handelt es sich um eine relativ neue Angriffstechnik, die erst letztes Jahr bekannter wurde. Das überrascht, denn die Technik ist so einfach, dass man sich wundert, wieso niemand früher darauf gekommen ist. Wenn der Browser Daten als Parameter an den Server schickt, passiert unter Umständen etwas Unerwartetes, wenn ein Parameter mehr als einmal vorkommt. Mit anderen Worten: Wer in einen GET-String zweimal die »productid« einbaut, sprengt damit möglicherweise die Webanwendung. Was genau passiert, hängt vom Webserver und der Skript-Runtime-Umgebung ab, siehe Tabelle 1 .

Tabelle 1

HTTP Parameter Pollution

Umgebung

Ergebnis

Beispiel

Apache/PHP

letzte Variable

par1 = val3

Apache/Mod-Perl/Libaprq2

erste Variable

par1 = val1

Apache/Perl-CGI

erste Variable

par1 = val1

Apache/Mod-Perl/Lib-Unknown

Array

ARRAY(foo)

In allen Fällen Aufruf von http://...?par1=val1&par2=val2&par1=val3

Diese Angriffsmethode hat großes Gefahrenpotenzial, denn bei der riesigen Anzahl an Kombinationsmöglichkeiten von Webserver-Software und Frameworks ist mit vielen unerwarteten Reaktionen zu rechnen. Wie es aussieht, gibt es auch keinen korrekten Weg, mit mehreren gleichnamigen Variablen in Anfragen umzugehen. Für jeden Ansatz gibt es gute Argumente, sei es das erste oder das letzte Auftreten oder eben eine Kombination der Werte. Deshalb ist es eher unwahrscheinlich, dass es bald eine gute einheitliche Lösung geben wird [10] .

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023