30.04.2010, 10:31

Hans-Christian Dirscherl

Internet-Gefahr

Die gefährlichen Schwestern: Cross-Site Request Forgery, Cross-Site Authentication und MySQL Injection

Bei Cross-Site Request Forgery (CSRF) - diese Gefahr ist aktuell in den Schlagzeilen - führt der Angreifer im Namen eines Opfers eine Aktion auf einer Website aus. Vereinfacht gesagt: XSS wird ausgenutzt, um Code im Browser des Benutzers auszuführen – bei CSRF werden die im Browser gespeicherten Informationen missbraucht, um im Namen des ahnungslosen Users Aktionen auf einer Website durchzuführen. Das ist der Fall, wenn ein Angreifer die Session-ID eines Anwenders kapert (weil der Anwender sich bei seinem letzten Besuch im Shop nicht korrekt ausgeloggt hat) und damit in einem Online-Shop einkauft, Session-Riding heißt dafür der Fachbegriff.
Beim verwandten Cross-Site Authentication werden einem Internetnutzer Zugangsdaten geklaut, indem man ihm ein gefälschtes Login-Formular vorgaukelt. Zum Beispiel, indem ein Angreifer ein Bild in einem als vertrauenswürdig angesehenen Forum platziert, für das man sich angeblich erst einloggen muss, wenn man es sehen will. Die dabei eingegebenen Logik-Daten schnappt sich dann der Angreifer.
(My)SQL Injektion heißt eine weitere ernste Bedrohung, die seit einiger Zeit von sich reden macht. Der augenscheinlich größte Unterschied aus der Sicht des Anwenders: Während XSS direkt gegen den Anwender und dessen Client gerichtet ist, zielt ein Angriff mittels MySQL Injektion auf den Website-Betreiber, genauer gesagt auf dessen MySQL-Datenbank. In der Konsequenz ist aber auch hier der Anwender das Opfer. Denn ob er nun direkt via XSS das Ziel eines Betrugsversuches wird oder aber beispielsweise seine Kundendaten wie Adresse oder Bankverbindung durch eine erfolgreiche MySQL Injection in falsche Hände geraten, der Leidtragende ist immer der Internetanwender.
Bei SQL-Injection schleust der Angreifer gegen den Willen des Datenbankbetreibers SQL-Befehle in die SQL-Datenbank ein. Er nutzt dazu genauso wie bei XSS-Hacks die unzureichende Validierung der Benutzereingaben aus. Mit den eingeschleusten SQL-Befehlen kann der Angreifer dann die Inhalte der Datenbank auslesen, beeinflussen (also beispielsweise Daten löschen oder deren Werte ändern) oder löschen. Auch hier besteht der Schutz im Maskieren von Sonderzeichen und verwandten Mechanismen. Bei Redaktionsschluss wurden etliche SQL Injections bei diversen Websites aus China und Taiwan gemeldet.
Lesen Sie in diesem Beitrag
  1. 1. So funktionieren Cross-Site Scripting & CSRF
  2. 2. Ein Beispiel zum Selbst-Ausprobieren von XSS
  3. 3. XSS kann überall lauern
Ganzes Inhaltsverzeichnis anzeigen Inhaltsverzeichnis ausblenden
Seite 6 von 6
Nächste Seite
Kommentare zu diesem Artikel (6)
  • wktecht
    14.03.11
    XSS - wo ist der Angreifer ?
    Was ist denn das für ein Quatsch ?

    Warum sollte ich in ein Formular jetzt irgendeinen Scriptcode ( der im übrigen auf Ihrer Webseite nicht mehr angezeigt wird - Geheimhaltung ? )
    eingeben um ein Popup-Fenster zu erzeugen.
    Soll das ein Beweis für mögliche Selbstschädigung sein ?

    Zitat : "...Code, der von einem Angreifer untergeschoben wurde..."
    Ich sehe in Ihrem Beitrag weder einen Angreifer noch wie er Code unterschieben könnte. Da müßten Sie schon etwas konkreter und verständlicher formulieren !
    Antwort schreiben
  • djkosi
    13.11.11
    Meine Website wird zur Zeit von einem XSS-Scripter attackiert.
    Es wird andauern versucht mit Hilfe von Setzen von Parametern über die URL Werbung in das Forum einzufügen (was aber zum Glück nicht funktioniert).
    Nun ist aber auf der Website eine Übersicht, die anzeigt wer auf welchen Seiten war. Es ist also ziemlich nervig, dass dort immer alles zugespammt wird...
    Was kann man im einfachsten Fall dagegen tun ohne die Funktion der Page einzuschränken?
    Ich habe mit utrace die IPs zurückverfolgt. Sie kommen alle aus Lettland.
    Ein IP Bann bringt aber nichts, da die IPs wechseln.
    Antwort schreiben
  • kalweit
    13.11.11
    Zitat: djkosi
    Was kann man im einfachsten Fall dagegen tun ohne die Funktion der Page einzuschränken?


    Wende dich an deinen Hoster. So er Ahnung von seinem Geschäft hat, sollte er ein IPS/IDS zwischen schalten können.
    Antwort schreiben
  • djkosi
    13.11.11

    Wende dich an deinen Hoster. So er Ahnung von seinem Geschäft hat, sollte er ein IPS/IDS zwischen schalten können.



    Ich denke nicht, dass das von einem kostenlosen Hoster, wie bplaced in meinem fall, gewährleistet wird oder liege ich da falsch?

    Auf jeden Fall schon einmal danke für den Vorschlag.
    Antwort schreiben
  • kalweit
    14.11.11
    Zitat: djkosi
    Ich denke nicht, dass das von einem kostenlosen Hoster,


    ...mei, woher sollen wir das wissen, wenn du das schon nicht weißt. Erzähle uns doch einfach mal, was du für Möglichkeiten und Rechte auf dem Server hast. Auf Ebene der Webanwendung lassen sich solche Angriffe eh nicht eindämmen - maximal die optischen Auswirkungen kaschieren (z.B. durch Verwerfen von DB-Einträgen mit ungültigen Parametern/Übergabewerten). Nur ist das nicht ganz clever, wenn man nicht permanent die Serverlogs auf merkwürdige Einträge kontrolliert.
    Antwort schreiben
  • djkosi
    14.11.11
    Ich kann bei bplaced nur auf den FTP zugreifen.
    Antwort schreiben
Jetzt antworten
Thema im PC-WELT-Forum anzeigen
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
- Anzeige -
Angebote für PC-WELT-Leser

PC-WELT Verleihshop
Keine Abogebühren oder unnötige Vertragsbindungen. DVDs und Spiele bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für Strom, Gas und DSL. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Preisvergleich
In unserem großen Preisvergleich finden Sie die günstigsten Preise und alle redaktionellen Tests auf einen Blick.

- Anzeige -
Marktplatz
DELL

Dell Vostro 3550 Business Notebook
Komfort eines erweiterten Arbeitsbereichs, ohne mobile Anforderungen zu beeinträchtigen.

Congstar

congstar Full Flat nur noch 39,99€
Endlos in alle dt. Netze telefonieren, beste D-Netz-Qualität.

Congstar

Der günstige Tarif für Vielsurfer
congstar Smart 100. Surfen und telefonieren im besten D-Netz.

CosmosDirekt

CosmosDirekt Riesterrente
Mit der Riester-Rente privat mit hohen staatlichen Zulagen fürs Alter vorsorgen.

Aktuelle Forumsthemen
75230
Content Management by InterRed