05.11.2009, 15:31

Frank Ziemann

Cookies und Subdomains

Server-Hack durch die Seitentür

Die Art und Weise, wie Browser bis heute mit Cookies umgehen, ermöglicht im Zusammenspiel mit falschen Annahmen von Website-Betreibern Angriffe auf Web-Server und nachfolgend auf deren Besucher.

Aktuelle News

Beliebte News

MD 98920: Aldi verkauft Medion Akoya P7624-Notebook mit DirectX-11-Grafikkarte (Update)
Online einkaufen: Media Markt Online-Shop geht an den Start
Filesharing-Plattform geschlossen: FBI schließt Megaupload und verhaftet Kim Schmitz (Update II)

XSS- und CSRF-Angriffe

Das nachvollziehbare Bedürfnis einfache Lösungen zu nutzen sowie falsche Annahmen darüber, wie das Domänen-Konzept in der Praxis funktioniert, machen Web-Server anfällig für Angriffe krimineller Hacker durch die Seitentür. Unternehmen binden Websites von Drittanbietern als Subdomains ein. Findet ein Angreifer in diesen Websites eine Schwachstelle, kann er über Cookies auch auf Daten von Besuchern des Haupt-Servers zugreifen.

Der Sicherheitsforscher Michael Bailey, seit August 2009 bei Foreground Security, hat in seiner noch jungen Karriere bereits eine Reihe von Schwachstellen in prominenten Websites aufgedeckt. Bailey hat kürzlich einen Aufsatz über so genannte CSRF-Angriffe (Cross-site Request Forgery) veröffentlicht, in dem er darstellt, wie Schwachstellen in Subdomains (etwa: www.xyz.firma.com) ausgenutzt werden können, um Besucher des Haupt-Servers (www.firma.com) anzugreifen und Daten auszuspähen. Bailey nennt auch konkrete Fälle wie Google oder McAfee. Eine Mitschuld trifft die gängigen Browser und ihrem Umgang mit Cookies.

Die Einbindung der Website einen Drittanbieters über das DNS (Domain Name Service) er schient zunächst logisch und sicher. Ein Server www.firma.com hat Kontrolle über www.xyz.firma.com - nicht jedoch umgekehrt, denn das System und die Vertrauensstellungen sind hierarchisch. Doch im Browser kehrt sich das Ganze um. Ein Server www.abc.firma.com kann, vereinfacht ausgedrückt, Cookies für www.firma.com setzen und auslesen.

Findet ein Angreifer eine Schwachstelle im Server www.xyz.firma.com und kann ihn manipulieren, kann er ihn auch veranlassen spezielle Cookies für firma.com zu setzen (statt nur für die eigene Subdomain). Meldet sich ein Besucher auf www.firma.com (etwa eine Bank oder ein Provider) an, kann ein Besuch bei www.xyz.firma.com zum Auslesen von Sitzungs-Cookies durch den Angreifer genutzt werden. Er erhält unter Umständen Zugriff auf das Benutzerkonto bei www.firma.com.

Das ist keineswegs rein theoretisch - Bailey nennt konkrete Beispiele. Er schildert, wie etwa Google, Expedia und die Chase Manhattan Bank dafür anfällig waren. Bei diesen Unternehmen wurden die bestehenden Schwachstellen bereits beseitigt. Doch viele andere Websites sind weiterhin anfällig für solche Manipulationen. Mike Bailey zeigt auch, wie Server-Admins solche Fußangeln vermeiden können.

Diskutieren Sie mit anderen Lesern über dieses Thema:

Ersten Kommentar erstellen

Direkt zum PC-WELT-Forum

PC-WELT-Experten lösen Ihr PC-Problem

Immer informiert mit dem PC-WELT Newsletter

PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

3x PC-WELT testen!

Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.

PC-WELT 3 / 2012

Zurück

Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:

Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.

Ich bin damit einverstanden, dass die IDG Magazine Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.

Aktuelle Forumsthemen

	Best-of PC-WELT			PC-WELT Apps
	PC-WELT Business-IT			PC-WELT Community