Uberblick Websecurity - Albert-Ludwigs-Universität Freiburg

Weitere Magazine

Empfehlungen

Info

6 Jennifer Nist Abbildung 2. Beispiel einer persistenten XSS-Schwachstelle: [11] Dom-basiert: DOM steht für Document Object Model und ist eine Schnittstelle zur browserunabhängigen Interpretation von HTML- und XML-Daten. Diese erfolgt benutzerseitig durch den Webbrowser. Der DOM-basierte XSS-Angriff nutzt, im Gegensatz zu den beiden anderen XSS- Angriffen, welche sich auf die serverseitige Erzeugung von dynamischen Webseiten stützten, die benutzerseitige Interpretation von Benutzereingaben. Beispiel Ein Benutzer macht eine Eingabe in eine Webanwendung. Diese Eingabe wird benutzerseitig durch eine Skriptsprache, wie etwa JavaScript, aus der URL als Argument ausgelesen: http://beispiel.de/datei.html?arg=Argument Dieses Argument wird in das betreffende HTML-Dokument eingefügt. Wenn dies ungeprüft geschieht, so kann die aufrufende URL manipuliert und an potentielle Opfer als harmloser Link verschickt werden. http://beispiel.de/datei.html?arg=alert(“XSS“) Wie kann man sich vor diesem Angriff schützen? Grundsätzlich sind Benutzereingaben nie vertrauenswürdig. Daher sollte jede Eingabe serverseitig geprüft werden. Dabei ist es meistens von Vorteil Whitelist zu benutzen. Bei dieser Methode werden nur solche Eingaben zugelassen, die auf der Liste stehen. Eine andere Methode ist die eine Blacklist zu führen. Dabei werden, im Gegensatz zu der Whitelist, die Eingaben die auf der Liste stehen nicht zugelassen. Eine Blacklist ist sinnvoller, wenn die Anzahl der erlaubten Eingaben zu hoch ist um sie auf eine Liste einzutragen. Jedoch sind Whitelists theoretisch die sicherere Wahl, da ständig neuere und komplexere Angriffsmethoden entwickelt werden, die zuvor noch nicht absehbar waren. Möchte der Benutzer nun ein Code-Beispiel in das Gästebuch schreiben, müssen Metazeichen als solche maskiert (escaped) und damit als normale Zeichen markiert werden. Bei der Maskierung wird dem Metazeichen ein bestimmtes Zeichen voran gestellt oder es komplett ersetzt, damit der Interpreter dies als eine Zeichenrepräsentation erkennt und nicht als Metazeichen interpretiert. Beispielsweise ersetzt man beim escapen von HTML-Code das Metazeichen ”
Angriffe auf die Internetprotokollfamilie und IP-Sicherheit (Praxis-Proseminar - WS12/13) 7 bevor sie akzeptiert wird. Eine recht zuverlässige Möglichkeit, sich als Benutzer vor XSS-Angriffen zu schützen, ist es, die JavaScript-Unterstützung im Browser zu deaktivieren. Allerdings schützt dies nur gegen XSS- Angriffe, die auch mit JavaScript arbeiten. [12] [13] 3 Schlussbemerkung Einer der wichtigsten Leitsätze, die Entwickler berücksichtigen sollten, wenn sie Web-Anwendungen vor Angriffen schützen möchten, lautet: ” Traue NIE Benutzereingaben.“Denn wenn es die Möglichkeit für eine bösartige Eingabe gibt, sollte davon ausgegangen werden, dass es geschieht. Für Anwender gilt es wachsam zu sein und persönliche Daten nicht blind Preis zu geben. Wenn eine Anwendung zum Beispiel plötzlich nach der Kreditkartennummer fragt, sollte der Nutzer misstrauisch werden. Für beide, Anwender und Entwickler, bedeutet das, immer die aktuellste Software zu verwenden und über die neuesten Techniken der Angreifer informiert zu sein. Ist eine Sicherheitslücke schon lange bekannt und behoben, sollte der Patch auch installiert werden. Nur wer seine Software auf dem neuesten Stand hält und sich regelmäßig über neue Angriffstechniken informiert, kann sich gegen diese schützen. In Zukunft werden die Angriffe auf Webanwendungen und auch deren Absicherung immer aufwändiger werden. Die Schwachstellen können in Unmengen von Code versteckt sein, was die Suche nach ihnen und deren Prävention komplex und zeitaufwändig gestaltet. Selbst wenn eine Anwendung nach dem neuesten Stand der Technik sicher ist, könnte ein Angreifer schon einen neuen Weg gefunden haben einen Angriff durchzuführen. Literatur 1. CCC: Chaos computer club weist auf ernste sicherheitslücken bei der bundesfinanzagentur hin. WWW- Dokument, http://www.ccc.de/de/updates/2011/bundesfinanzagentur (2011) [Online, letzter Aufruf 10.02.2013]. 2. OWASP: Owasp top 10 - 2010. PDF-Dokument, pp. 6,10, https://www.owasp.org/images/b/b8/ OWASPTop10_DE_Version_1_0.pdf (2010) [Online, letzter Aufruf 10.02.2013]. 3. Jellinek, B.: Unsichere direkte objektreferenzen. WWW-Dokument, http://web-development. github.com/security/a4-referenz/ (2012) [Online, letzter Aufruf 10.02.2013]. 4. AQUANTM: Web application security (teil 4). WWW-Dokument, http://www.aquantum.de/2011/ 01/24/web-application-security-teil-4/ (2011) [Online, letzter Aufruf 10.02.2013]. 5. OWASP: Owasp top 10 - 2010. PDF-Dokument, pp. 6,12, https://www.owasp.org/images/b/b8/ OWASPTop10_DE_Version_1_0.pdf (2010) [Online, letzter Aufruf 10.02.2013]. 6. Jellinek, B.: Sicherheitsrelevante fehlkonfiguration. WWW-Dokument, http://web-development. github.com/security/a6-konfiguration/ (2012) [Online, letzter Aufruf 10.02.2013]. 7. Wikipedia: Härten (computer). WWW-Dokument, http://de.wikipedia.org/wiki/H%C3%A4rten_ %28Computer%29 (2013) [Online, letzter Aufruf 10.02.2013]. 8. koirala, S.: Authentication and authorization. WWW-Grafik, http://www.codeproject. com/Articles/98950/ASP-NET-authentication-and-authorization (2010) [Online, letzter Aufruf 10.02.2013]. 9. OWASP: Owasp top 10 - 2010. PDF-Dokument, pp. 6,14, https://www.owasp.org/images/b/b8/ OWASPTop10_DE_Version_1_0.pdf (2010) [Online, letzter Aufruf 10.02.2013]. 10. Jellinek, B.: Mangelhafter url-zugriffsschutz. WWW-Dokument, http://web-development.github. com/security/a8-url/ (2012) [Online, letzter Aufruf 10.02.2013]. 11. Wikipedia: Cross-site-scripting). WWW-Dokument, http://de.wikipedia.org/wiki/ Cross-Site-Scripting (2013) [Online, letzter Aufruf 10.02.2013]. 12. OWASP: Owasp top 10 - 2010. PDF-Dokument, pp. 6,8, https://www.owasp.org/images/b/b8/ OWASPTop10_DE_Version_1_0.pdf (2010) [Online, letzter Aufruf 10.02.2013]. 13. Wirtschaftsinformatik, W.F.S.: Sicherheit von webanwendungen. WWW-Grafik, http:// wiki.fh-stralsund.de/index.php/Sicherheit_von_Webanwendungen (2009) [Online, letzter Aufruf 10.02.2013].
Seite 1 und 2: Angriffe auf die Internetprotokollf
Seite 3 und 4: Angriffe auf die Internetprotokollf
Seite 5: Angriffe auf die Internetprotokollf

Uberblick Websecurity - Albert-Ludwigs-Universität Freiburg

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?