Websoftware als Sicherheitsgefahr (Teil 1)

Die Entwicklung der letzten Jahre im Internet hat immer mehr Firmen und private Gruppen
ermutigt, eigene Software für den Webbetrieb zu schreiben. Der Grund liegt womöglich in
der steigenden Akzeptanz der Nutzer für die Nutzung von Onlinediensten sowie in den vorhandenen
– wenn auch kleinen – Chancen auf das große Geld. Diese Entwicklung ist dem „Web 2.0“ zu verdanken.
Was „Web 2.0“ bedeutet ist gerne Streitthema und hier werden nur sichtbare Züge dieses Trends
beleuchtet, die sich auf die Sicherheit auswirken.

Dem aufmerksamen Beobachter aktueller IT-News ist nicht entgangen, dass vermehrt Webanwendungen
zur „Sicherhietstechnischen-Generalüberholung“ müssen, nachdem sie bereits einem breiten
Publikum vorgestellt wurden. „StudiVZ“ sei hier der Vollständichkeitshalber genannt. Es ist auch
auffällig, dass die Ausnutzung der Sicherheitsschwächen nur zur Belustigung betrieben wurde oder
aber als brisanter Inhalt für Blogs. Noch hat also niemand bewusst einen direkten, monetären
„Nutzen“ aus der Verwendung dieser gezogen. Noch scheinen diese Softwareschwächen rechtzeitig
von den Guten gefunden werden, die entweder den Betreiber informieren oder veröffentlichen und
so etwas mediale Aufmerksamkeit erzielen. Die sei ihnen gegönnt. Denn so kann der Betreiber
die Lücke stopfen oder der Nutzer sich eigene Gedanken zu seiner Sicherheit und die seiner
Daten machen. Allermal besser, als nichts ahnend noch mehr persönliche Daten einer unsicheren
Anwendung zuführen.

Was passiert aber, wenn ein Krimineller oder eine Gruppe solcher sich entscheiden sollte, auf
der Suche nach diesen leicht zugänglichen Schwachstellen zu gehen? Eine Liste potenzieller
Einfallstore und ihrer Schwächen könnte etwas mehr Schaden anrichten, wenn sie kontrolliert
und systematisch ausgenutzt werden.

[3]Der unbedachte Nutzer[/3]

Doch wie nimmt ein unbedachter Durschnittsnutzer die Schwächen auf, die ihm vielleicht im
Internet begegnen? Wie oft sieht er darin eine Gefahr? Spielen wir übliche Schwachstellen
mit einem fiktiven Nutzer durch:

XSS-Schwachstelle

„XSS-ed!“ steht in der Alertbox des Webbrowsers beim Besuch der geliebten Web2.0-Seite. Ein
Indiz, dass jemand erfolgreich einen XSS-Angriff unternomen hat. Ein Klick, und das seltsame
Fenster ist wieder zu. Da war keine Gefahr für irgendwas. Wie langweilig.

SQL-Injection

Die Onlineterminverwaltung des Webanbieters ist leer. Die eingetragenen Termine weg. Egal, waren
ja nur Geburtstage. Morgen wird ein Update eingespielt und es ist sogar alles wieder da. Netter Versuch!

CSRF-Angriff

Einkaufen im Onlineshop meines Vertrauens. Beim Bestätigen der Bestellung findet sich in der
Liste ein Buch. Habe es nicht selber da reingelegt, ich kenne es nicht einmal. Entfernen – fertig.
Total witzig.

Session-Fixation

Pflege online meine Freunde ein. Am nächsten Tag stelle ich fest, dass mein Nutzername sich
geändert hat. Ich ändere ihn zurück. Datenbank wohl durcheinander.

Das könnte dich auch interessieren …