Uberblick Websecurity - Albert-Ludwigs-Universität Freiburg

Weitere Magazine

Empfehlungen

Info

4 Jennifer Nist Authentifizierung und die Autorisierung rollenbasiert zu gestalten, um den Verwaltungsaufwand möglichst klein zu halten. Eine mögliche Rollenverteilung wäre dabei zum Beispiel ” Gast“(keine, oder nur Leserechte), ” registrierter Benutzer“(Lese- und Schreibrechte) und ” Administratoren“(alle Rechte: lesen, schreiben, löschen... usw.). Bei der Authentifizierung wird die Identität des Nutzers festgestellt. Bei der Autorisation wird die Berechtigung für bestimmte Aktionen überprüft und festgelegt. Abbildung 1 veranschaulicht die Beziehung zwischen Authentifikation und Autorisierung in Anwendungen. Abbildung 1. Beziehung zwischen Authentifikation und Autorisation in Anwendungen: [8] Eine Möglichkeit diesen Schutz zu implementieren wäre es, die Überprüfung serverseitig im Source- Code jeder Datei zu definieren. So könnte der Entwickler der Anwendung zum Beispiel eine Funktion check permissions() implementieren, die jeden Zugriff auf diese PHP-Datei zuerst auf Zugriffsberechtigung überprüft: [9] [10] 2.4 Cross-Site Scripting (XSS) XSS-Angriffe sind nur in dynamischen Webanwendungen möglich. Eine Webanwendung ist dynamisch, wenn diese auf Interaktion des Benutzers reagiert. Eine Schwachstelle entsteht, wenn die Anwendung nicht vertrauenswürdige Daten vom Benutzer entgegen nimmt und ihm diese zurück gibt, jedoch nicht ausreichend validiert, zum Beispiel nicht auf unerwünschte Eingaben überprüft. Diese sind oft Metazeichen. Diese Metazeichen stehen innerhalb eines bestimmten Kontextes, zum Beispiel in einem HTML-Quellcode, nicht für sich selbst, sondern haben eine besondere Bedeutung. Sie könnten daher dazu führen, dass die (eventuell bösartige) Eingabe eines Benutzers nicht als reiner Text interpretiert wird, sondern als aktiver Inhalt, der möglicherweise ausführbar ist. Beispiel für Metazeichen: Der Text ” “besteht in der Zusammensetzung aus zwei spitzen Klammern und Attributen. Jedoch steht die Zeichenfolge im Kontext einer HTML-Seite für den Beginn eines ausführbaren Inhaltes der Sprache JavaScript. Der darauf folgende Text wird solange als JavaScript interpretiert, bis der Abschnitt durch das Tag geschlossen wird. Wenn die Benutzereingaben nicht auf solche Metazeichen hin überprüft werden, ist es für den Angreifer möglich, nahezu beliebigen Schadcode auszuführen.
Angriffe auf die Internetprotokollfamilie und IP-Sicherheit (Praxis-Proseminar - WS12/13) 5 Es gibt drei verschiedene Typen von XSS-Schwachstellen: nicht-persistent bzw. reflektiert, persistent und DOM-basiert. Reflektiert: Bei einem reflektierten XSS-Angriff wird das Skript, welches Schadcode enthält, nach einer Benutzereingabe direkt vom Server zurück gesendet (reflektiert). Da das Skript von einem bekannten und ” sicheren“Server kommt, führt der Browser des Benutzers das Skript aus. Beispiel Eine Website hat eine Suchfunktion. Der gesuchte Begriff wird dabei in der Ergebnisliste nochmals ausgegeben (Reflektion des Servers). Die Anfrage an den Server könnte dabei zum Beispiel so aussehen: http://beispiel.de/index.php?suche=Suchbegriff Die Zeichenkette ” Suchbegriff“wird vom Webserver ungeprüft in den Quelltext der Ausgabe eingebaut. Jedoch könnte anstatt eines Suchbegriffes beispielsweise auch folgende Zeichenkette eingegeben werden: http://beispiel.de/index.php?suche=alert(“XSS“) Dieser Code wird nun unverändert in den Quellcode der Seite integriert und ausgeführt. Sofern die Anwendung den Angriff nicht erkennt, könnte beliebiger Schadcode eingeschleust werden. Versendet man diese URL zu der vermeintlich harmlosen Suchanfrage, so glaubt sich der Empfänger in Sicherheit, da er eine vertrauenswürdige URL aufruft, diese jedoch durch die XSS-Schwachstelle der Webanwendung Schadcode ausführt. Persistent: Eine persistente XSS-Schwachstelle könnte zum Beispiel in einem Gästebuch vorhanden sein. Jeder Eintrag in das Gästebuch wird vom Server zwischengespeichert, zum Beispiel in einer Datenbank. Fügt nun ein Angreifer Schadcode in seinen Gästebucheintrag ein, speichert das Gästebuch diesen in der Datenbank. Dadurch wird jeder zum Opfer, der auf diese gespeicherte Information zugreift. Denn jeder Besucher, der diese Seite aufruft, um das Gästebuch zu lesen, würde das Skript mit dem Schadcode auf seinem Computer ausführen. Beispiel a l e r t (” A n g r i f f ! ! ” ) ; Diese Eingabe könnte zum Beispiel in einem Gästebuch, bei unzureichender Prüfung auf Sonderzeichen, dazu führen, dass eine Meldung mit dem Text ” Angriff!!“im Browser erscheint. In einem anderen Fall könnte das Skript auch unsichtbar sein und Malware enthalten oder den Benutzer auf eine Phishing-Site umleiten. Der Angreifer könnte auch durch ein im Hintergrund laufendes Skript sich die Session-ID des Benutzers schicken lassen und damit die aktuelle Session übernehmen und so Zugriff auf das Benutzerkonto des Benutzers erlangen. Ein weiteres Beispiel für eine persistente XSS-Schwachstelle ist in Abbildung 2 zu sehen. • Der Angreifer schleust ein Skript ein. Dieses wird von der serverseitigen Prüfung nicht erkannt und vom Webserver in die Datenbank geschrieben. • Sobald ein Benutzer die betreffende Seite aufruft, wird das Skript lokal ausgeführt. Es leitet den Benutzer auf eine zuvor vom Angreifer manipulierte oder erstellte Seite um, ohne dass dieser etwas davon merkt. • Der Angreifer könnte auf dieser Seite zum Beispiel eine Fehlermeldung anzeigen lassen, die eine erneute Anmeldung des Benutzers auf der Seite www.betreiber.de, oder der Eingabe der Bankdaten, erfordert. So könnte das Skript jede Eingabe des Benutzers an den Angreifer weiterleiten.
Seite 1 und 2: Angriffe auf die Internetprotokollf
Seite 3: Angriffe auf die Internetprotokollf
Seite 7: Angriffe auf die Internetprotokollf

Uberblick Websecurity - Albert-Ludwigs-Universität Freiburg

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?