1746395

Schädliche Folgen durch unzureichende Prüfung von Nutzereingaben

30.03.2018 | 09:01 Uhr |

Firmenwebsites die beispielsweise einen Login-Bereich oder eine Suchfunktion beinhalten sind einer weiteren Gefahr ausgesetzt. Hier gibt es eventuell für Angreifer die Möglichkeit in die variablen Bereiche der Website mittels Cross-Site-Scripting (XSS) Schadcode einzufügen. Meist wird dies durch Javascript realisiert, da es in der Standardkonfiguration von jedem Browser interpretiert wird. So könnte man zum Beispiel den Cookie, in dem die Login- und Passwortdaten stehen, auslesen und auf eine andere Website weiterleiten und auf dieser speichern.
 
Es lassen sich drei Arten von Cross-Site-Scripting unterscheiden. Bei reflektierten XSS wird die Eingabe des Benutzers direkt vom Server an den User zurück gesendet. Enthält die Eingabe Schadcode, wird dieser direkt im Browser ausgeführt. Man nennt diese Art auch nicht-persistent, da der Schadcode nicht gespeichert wird. Ruft man die Seite ohne manipulierte URL auf, ist der Schadcode auch nicht mehr enthalten. Bei persistenten Cross-Site-Scripts wird dagegen der Schadcode auf dem Webserver gespeichert und wird bei jeder Anfrage ausgeführt.
 
Eher selten wird DOM-XXS verwendet. Hier wird ein Javascript als clientseitiges Script zur Ausführung übergeben. Bei dieser Variante ist eine Beteiligung einer Webapplikation auf einem Server nicht vorhanden.
 
Des Weiteren ist es möglich Datenbankinformationen SQL-Injections abzugreifen. Hierbei werden von Angreifern SQL-Statments in einem Eingabefeld platziert, um somit zum Beispiel Kreditkartennummern oder Kundendaten aus einer Datenbank abzugreifen. Anhand dieser Angriffsmöglichkeiten ist es essenziell, dass von außen kommende Daten stets auf ihre Validität überprüft werden.
 
 
 

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
1746395