Sie befinden sich hier:Home

IT-Sicherheit | Angriffstechniken & Sicherheit von Webseiten

Wer eine Website oder einen Online-Shop betreibt, muss mit Angriffen von Hackern rechnen, die Websites z. B. für Spam und Phishing missbrauchen. Angriffe sind nicht autorisierte Zugriffe und Zugriffsversuche. Neben dem unbefugten Eindringen in Rechenzentren und der Beeinflussung von Personen, z. B. Passwörter und sensible Informationen zu verraten, erfolgen Angriffe meist über das Netzwerk.

  • Bei einer SQL-Injection werden Verbindungsanfragen mit SQL-Steuerzeichen in den Anfrageparametern an den Webserver gesandt. Sendet Ihre Webanwendung diese Steuerzeichen ungefiltert als Teil einer SQL-Abfrage an die Datenbank, können Angreifer Daten auslesen oder verändern.
  • Mit Cross-Site Scripting (XSS) werden 2-3 verschiedene Angriffe bezeichnet. Angreifer können z. B. HTML-Steuerzeichen und Code einer clientseitigen Skriptsprache (z. B. JavaScript) in eine Webseite einschleusen. Dabei werden Sicherheitslücken bei der lokalen Ausführung der Skripte ausgenutzt. Bei einem serverseitigen XSS werden manipulierte Informationen in eine auf dem Webserver ausgeführte Scriptsprache eingeschleust.
  • Beim Session Hijacking versuchen Angreifer die Session-ID des Benutzers herauszufinden, um dann die Identität des Angegriffenen vorzutäuschen und mit dessen Rechten auf die Webanwendung zuzugreifen. Eine Session-ID wird als Basic/Digest Authentication, Cookie, URL-Rewriting oder HTTP-Form-Parameter (GET oder POST) jeder Anfrage mitgegeben.
  • Cross-Site-Request-Forgery setzen voraus, dass eine Session zwischen dem Benutzer und der Webanwendung besteht. Angreifer versuchen dabei über verschiedene Techniken (ggf. XSS) den Benutzer oder über ein clientseitiges Script auch direkt den Browser zum Aufruf einer manipulierten URL zu bewegen.
  • Eine fehlende Prüfung der Webanwendung auf manipulierte Pfadangaben nutzen Angreifer bei einem Directory Traversal Angriff aus. Wenn die Webanwendung z. B. einen Parameter wie item=datei1.html erwartet, kann dieser ggf. mit item=../../../Config.sys missbraucht werden.
  • Zum Versand von Spam können Angreifer auch manipulierte Daten in ein Web-Kontaktformular einfügen (E-Mail-Injection), so dass statt der Nachricht an den vom Betreiber der Webanwendung beabsichtigten Empfänger nun beliebige E-Mails an beliebige Empfänger gesendet werden.
  • Angreifer versuchen bei einem Man-In-The-Middle-Angriff (MitM) den Prozess so zu manipulieren, dass Benutzer unbemerkt Verbindungen nicht mit dem Webserver direkt, sondern mit dem Rechner des Angreifers aufbauen. Angreifer können dann Anfragen und Rückgaben beliebig verändern.
  • Eine Sonderform des Man-in-the-middle-Angriffs ist Man-in-the-Browser. Dabei wird die Darstellung von Webseiten direkt im Browser verändert. Das eingeschleuste Programm führt Transaktionen eigenständig durch, ohne dass der Nutzer es bemerkt, da er sich auf der echten Website befindet, dort richtig angemeldet ist und die manipulierten Transaktionen für ihn wie normale Vorgänge angezeigt werden.
  • Bei einem Denial of Service (DoS) Angriff wird der Webserver durch eine Vielzahl von Verbindungsanfragen bombardiert, um Ressourcen für reguläre Anfragen zu blockieren. Bei einem gleichzeitigen Angriff von tausenden Computern spricht man auch von einem Distributed-Denial-of-Service-Angriff (DDoS).

Gerade bei älteren Webpräsenzen entsteht häufig das Problem, dass eine Aktualisierung nicht zeitnah erfolgt oder aufgrund von Kompatibilitätsproblemen nicht umsetzbar ist. Lassen Sie vor dem Hintergrund oben genannter Angriffsgefahren am besten die Sicherheit Ihrer Webanwendungen analysieren, bevor dann die passenden Sicherheitskonzepte entwickelt und umgesetzt werden können. Die Dr. Bülow & Masiak GmbH berät Sie in allen Sicherheitsfragen. Gerne erstellen wir Ihnen ein unverbindliches Angebot. Bei Interesse wenden Sie sich bitte an vertrieb@buelow-masiak.de.