t3n 9

Neue Möglichkeiten der Interaktion benötigen einen verstärkten Schutz: Anwendungen im Web 2.0 absichern

    Neue Möglichkeiten der Interaktion benötigen einen verstärkten Schutz: Anwendungen im Web 2.0 absichern

Angriffe auf Webanwendungen mit Content Management Systemen oder Shops haben sich in den letzten Monaten zu einem Kernproblem entwickelt. Der Grund ist, dass je umfangreicher und sensibler die transportierten Daten sind, desto lukrativer wird auch der Versuch, sie auszuspionieren. Herkömmliche Sicherheitslösungen wie Firewalls oder IDS/IPS bieten dagegen nicht mehr in jedem Fall einen ausreichenden Schutz. Auch war das HTTP-Protokoll nie für komplexe Anwendungen konzipiert. Für Webentwickler heißt das: Augen auf und kreative Lösungen finden.

Zu den häufigsten Attacken auf Community-Sites gehört die „SQL-Injection“. Sie sieht auf den ersten Blick aus wie eine harmlose Anfrage. Wenn jedoch der Angreifer im Eingabefeld „Name“ statt des Nachnamens einen SQL-Befehl eintippt und der Befehl akzeptiert wird, kann er auf diesem Wege ohne Berechtigung sensible Informationen aus der Datenbank anfordern. Bösartige Requests in großer Menge können sogar ganze Webanwendungen lahmlegen. Ein Hacker könnte einen String übergeben, wie zum Beispiel „1 OR 1“:

SQL

$value = $_GET['value'];
$GLOBALS['TYPO3_DB']->exec_SELECTquery('*', $this->user_table, 'uid='.$value );

Listing 1

Die Abfrage endet dann folgendermaßen:

SQL

$GLOBALS['TYPO3_DB']->exec_SELECTquery('*', $this->user_table, 'uid=1 OR 1 );

Listing 2

Das liefert als Ergebnis alle rows von „$this->user_table“. Dagegen schützt nur die Validierung aller Eingaben, die bei der SQL-Abfrage genutzt werden.

Weitere Attacken

„Man-in-the-middle-Attacken“ sind sehr aufwändig und werden hauptsächlich gegen Banken verwendet. Dabei schaltet sich der Datendieb zwischen die beiden Kommunikationspartner – beispielsweise Verkäufer und Kunde. Da nach dem Janusprinzip beiden Teilnehmern der jeweils andere vorgespiegelt wird, gelingt es ihm, Datenströme an seine Adresse umzulenken.

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung